【BUUCTF系列】[HCTF 2018]WarmUp1

原创 于 2025-07-31 21:06:31 发布 · 775 阅读 · 18 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#android #web安全 #网络安全 #网络

本文仅用于技术研究,禁止用于非法用途。
Author:枷锁

点开题目显示一个图片,没有任何交互功能,我们直接查看网页源代码

我们可以看到有一个歆慕的注释source.php,我们进行拼接,访问一下这个文件
在这里插入图片描述
在url后加上/source.php进行访问,可以看到我们访问到一些源码
在这里插入图片描述

访问后得到以下关键PHP代码:

highlight_file(__FILE__);
class emmm {
    public static function checkFile(&$page) {
        $whitelist = ["source"=>"source.php","hint"=>"hint.php"];
        // ...检查逻辑...
    }
}

if (!empty($_REQUEST['file']) 
    && is_string($_REQUEST['file']) 
    && emmm::checkFile($_REQUEST['file'])) {
    include $_REQUEST['file'];
    exit;
} else {
    echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
}
  1. 文件包含条件
  • $_REQUEST['file']不为空
  • $_REQUEST['file']是字符串类型
  • 通过emmm::checkFile()检查
  • 只有让这三个都是true才能进入include,从而文件包含出flag文件。前两个只要file不为空且是字符串类型即可为true。重点是第三个判断。
  1. checkFile函数逻辑
  • 定义白名单:source.phphint.php
  • 检查输入是否在白名单中
  • 对输入进行URL解码和字符串截取处理
  • 多层检查机制增加了绕过难度
  1. 可利用点
  • 白名单检查可通过路径遍历绕过
  • URL解码特性可被利用
  • include函数对路径的特殊处理方式

解题步骤

第一步:获取提示信息

访问hint.php获取提示:

?file=hint.php

返回提示可能存在ffffllllaaaagggg文件
在这里插入图片描述

第二步:构造payload绕过检查

  1. 基本payload结构

    file=hint.php?/../../../../../ffffllllaaaagggg
    • 利用?截断使hint.php通过白名单检查
    • 使用路径遍历访问目标文件

  2. URL编码处理
    由于服务器会自动进行URL解码,需要构造多层编码:

    file=hint.php%253F/../../../../../ffffllllaaaagggg


    file=hint.php%3F%2F..%2F..%2F..%2F..%2F..%2Fffffllllaaaagggg

第三步:理解include机制

路径解析特性

  • PHP的include会尝试解析/分隔的路径
  • 如果前半部分文件不存在,会尝试包含后半部分路径
  • 路径遍历深度足够时能访问到目标文件

技术要点总结

  1. 文件包含漏洞利用
  • 通过白名单绕过实现任意文件包含
  • 结合路径遍历访问敏感文件
  1. URL编码特性
  • 服务器自动解码机制
  • 多层编码绕过技巧
  1. PHP include特性
  • 路径解析的特殊处理
  • 相对路径的计算方式

最终解决方案

最有效的payload为:

?file=hint.php%253F/../../../../../ffffllllaaaagggg

在这里插入图片描述

这个payload能够:

  1. 通过白名单检查(解码后为hint.php?
  2. 利用路径遍历访问目标文件
  3. 适应服务器的自动解码机制

宇宙级免责声明​​
🚨 重要声明:本文仅供合法授权下的安全研究与教育目的!🚨
1.合法授权:本文所述技术仅适用于已获得明确书面授权的目标或自己的靶场内系统。未经授权的渗透测试、漏洞扫描或暴力破解行为均属违法,可能导致法律后果(包括但不限于刑事指控、民事诉讼及巨额赔偿)。
2.道德约束:黑客精神的核心是建设而非破坏。请确保你的行为符合道德规范,仅用于提升系统安全性,而非恶意入侵、数据窃取或服务干扰。
3.风险自担:使用本文所述工具和技术时,你需自行承担所有风险。作者及发布平台不对任何滥用、误用或由此引发的法律问题负责。
4.合规性:确保你的测试符合当地及国际法律法规(如《计算机欺诈与滥用法案》(CFAA)、《通用数据保护条例》(GDPR)等)。必要时,咨询法律顾问。
5.最小影响原则:测试过程中应避免对目标系统造成破坏或服务中断。建议在非生产环境或沙箱环境中进行演练。
6.数据保护:不得访问、存储或泄露任何未授权的用户数据。如意外获取敏感信息,应立即报告相关方并删除。
7.免责范围:作者、平台及关联方明确拒绝承担因读者行为导致的任何直接、间接、附带或惩罚性损害责任。

🔐 安全研究的正确姿势:
✅ 先授权,再测试
✅ 只针对自己拥有或有权测试的系统
✅ 发现漏洞后,及时报告并协助修复
✅ 尊重隐私,不越界

⚠️ 警告:技术无善恶,人心有黑白。请明智选择你的道路。

希望这个教程对你有所帮助!记得负责任地进行安全测试。

BUU HCTF2018 WarmUP
yingyugo的博客
11-24 1392
开始BUUCTF受虐的第一天,好的,首先打开第一题,映入眼帘的就是这偌大的笑脸 然后ctrl+u出来源码看看 <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <meta name="viewport" content="width=device-width, initial-scale=1.0"> <meta http-equiv="X-U
[HCTF 2018]WarmUp 1--详细解析
m0_56019217的博客
11-03 2575
is_string()判断参数是否为字符串。现在我们所在的界面是source.php,所以我们令file=hint.php,返回值为true,就能包含hint.php,查看该文件的内容。mb_substr()会截取问号之前的数据,也就是截取了hint.php带入白名单查询,查询结果为true,返回值为true.mb_substr() 用于截取字符串,第一个参数为字符串,第二个和第三个参数分别为起始索引和终止索引。checkFile()结果为true时,返回值为true.在当前界面包含file指向的文件。
BUUCTFWeb之[HCTF 2018]WarmUp 1
qq_45972928的博客
05-02 1353
1、首先打开题目链接 2、因为是php代码审计,所以我们尝试寻找代码。先查看网页源码 这里发现一个注释的php文件 3、尝试对source.php进行访问 4、出现了php代码,进行代码分析 ① 观察参数file,首先file不能为空,其次要满足是字符串类型 php if (! empty($_REQUEST['file']) && is_string($_REQUEST['file']) && emmm::checkFil.
[HCTF 2018]WarmUp1
最新发布
2301_80010998的博客
06-28 600
ctf
buuctf[HCTF 2018]WarmUp 1
m0_73734159的博客
10-22 540
这里就是说一直返回上一级查找,直到查找到flag为止,最终返回到/root根目录,因为ffffllllaaaagggg原本是在hint.php文件里面嘛,所以说要一直往上一级目录找它的原始位置,4、“/”处于Linux文件系统树形结构的最顶端,我们称它为Linux文件系统的root,它是Linux文件系统的入口。/倒不是一定是6个,看你的flag具体在那个上一级目录了😉。”表示上一级目录,也可以用“…1、“.”表示当前目录,也可以用“./”表示。3、“~” 代表用户自己的宿主目录。
BUUCTF[HCTF 2018]WarmUp 1
Pz1o的博客
05-05 7939
1.HCTF2018(代码审计) 分析过程 打开之后看见源代码有source.php,直接看source.php 看了一会代码是发现有file等,就想到了文件上传,然后看代码。 首先是有一个checkfile函数 先定义了白名单,只有source.php和hint.php。之后是一个判断是否是空和字符串的if,不是就返回false,还有一个判断,是否在白名单里的if。再往下看, mb_sub...
buuctf [HCTF 2018]WarmUp 1 解题思路
2301_76899943的博客
05-13 1030
flag.php,先检测flag.php能否包含,不能就包含…/flag.php,以此类推。,就在参数page的末尾加上?substr函数的意思就是截取字符串,截取从第0个字符串开始 长度为strpod函数给出的数字 的字符串。检查源代码可以看到有source.php的提示,那么直接打开source.php。这里要注意这个include函数,如果文件无法读取,会向后读取文件。只允许包含白名单的文件,有source.php和hint.php。(实力较弱,如有表述错误的,恳请大佬指点~~!
web | CTF】BUUCTF [HCTF 2018]WarmUp
weixin_46301214的博客
03-03 619
访问一下hint.php文件就告诉我们,flag在 ffffllllaaaagggg 这个文件里。hint.php 是必填的,然后重点来了,想要访问成其他文件,只需要继续拼接?拦截大概意思就是,我们输入:ffffllllaaaagggg。ffffllllaaaagggg == 数组里两个文件名吗?然后你会发现,这TM是五层目录啊,而且本地是无法复现出来的。发现文件,打开访问一下看看,发现是代码审计。这里经验灵感是 四个字,所以是四层目录。
buu[HCTF 2018]WarmUp 代码审计 php
2302_79359652的博客
02-05 957
1、网站默认页面,负责展示网站内容;2、处理和执行传递给该页面的请求参数,并根据不同参数返回不同结果;3、作为框架的入口,方便控制整个网站请求的管理;4、作为API的入口,方便数据交互和处理。后缀加/index.php可以直接进行访问,后再加一个“?”进行GET或POST传参。
BUUCTF__[HCTF 2018]WarmUp_题解
风过江南乱的博客
04-24 1667
第一次写题解,以此来做一个学习记录。 首先拿到题目,打开看到一张滑稽 F12查看源代码,获知source.php,并访问,发现是一段php代码,进行代码审计 <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) ...
BUUCTF: [HCTF 2018]WarmUp 1
emdog的博客
10-21 2772
1、打开链接,只有这个笑脸,首先想到的肯定是查看源码 2、按下F12或者是Ct+U查看源码,如下显示,可以看到有source.php注释 3、通过在原URL后添加/source.php,可查看到如下内容,进行代码审计,分析源码。 <?php highlight_file(__FILE__); class emmm { //传入变量,也就是file,赋值给page public static function checkFile(&$page
BUUCTF [HCTF 2018]WarmUp 1
m0_52598783的博客
11-24 276
BUUCTF [HCTF 2018]WarmUp 1 f12发现提示source.php 打开后发现php代码: <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { $whitelist = ["source"=>"source.php","hint"=>"hint.php"]
BUUCTF——[HCTF 2018]WarmUp 1
小白一枚多多关注的博客
03-17 2670
这道题很有意思,因为它这道题和攻防世界中的某道题相似,可以说几乎做法都一样,都是php代码审计,在这里我们刚进入环境是一张笑脸 一般在打ctf中要是一个网页中只有一张图片我们首先想到的肯定是图片里面藏着某个数据(某年某个ctf比赛就是这样的),但这个不一样,因为题目已经提示了我们这里是php代码审计,所以我们就用各种手段来获取有利用价值的信息 可以看见它的源代码处有一个被注释掉的php文件,我们先去访问一下看一下是否能被打开 打开后就可以看见一堆的php代码,现在我们就可以正式的来解体了 这里是用f
BUUCTF】[HCTF 2018]WarmUp 1
qq_44761422的博客
08-28 2278
tips:include函数有这么一个神奇的功能:以字符‘/’分隔(而且不计个数),若是在前面的字符串所代表的文件无法被PHP找到,则PHP会自动包含‘/’后面的文件——注意是最后一个‘/’。这里的ffffllllaaaagggg是在hint.php中发现的,显然flag在这个文件里。31 //第二次过滤问号的函数(如果$page的值有?37 //第三次检测传进来的值是否匹配白名单列表。6 //白名单列表。访问hint.php。
BUUCTF-[HCTF 2018]WarmUp1
Monica的博客
09-03 3177
目录 题目: 知识点: 分析: 遇到的问题: 一、服务端会对传入的参数自动进行一次urldecode,并且对于不能url解码的字符串再次进行url解码,字符串不会变化 二、include相对路径问题 题目: 打开环境发现只有一个滑稽,日常查看源代码,发现有个source.php 访问url/source.php 得到源码 <?php highlight_file(__FILE__); class emmm { public sta...
[BUUCTF]HCTF 2018WarmUp1 write up
GZWZ_的博客
03-25 3026
又是会谢的一天!!!
[HCTF 2018]WarmUp 1
tomatoff的博客
03-09 1604
1、进入页面,发现是一个“滑稽”; 2、右击查看页面源码,可以看到有source.php注释; 3、通过在原URL后添加/source.php,可查看到如下内容,进行代码审计,分析源码。 4、在这里插入代码片<?php highlight_file(FILE); class emmm { public static function checkFile(&$page) { whitelist=["source"=>"source.php","hint"=>"hint.php"
[HCTF 2018]WarmUp 1
04-01
<think>好的,我现在需要帮用户解决HCTF 2018 WarmUp题目的解题思路。首先,我应该先回忆一下这个题目的基本情况。根据用户提供的引用内容,这题可能涉及到Web安全方面的挑战,比如CTF题目常见的漏洞类型,比如文件包含、代码审计等。 用户提到参考站内引用中的第三部分是关于[HCTF 2018]WarmUp的解题思路,所以首先需要从这些信息中提取关键点。根据引用中的描述,解题思路可能涉及几个步骤:首先访问页面,查看源代码;然后发现提示,比如source.php;接着分析该文件的内容,寻找可能的漏洞点,比如文件包含或PHP伪协议利用。 接下来,我需要详细拆解每个可能的步骤。比如,第一步访问网站后,查看页面源代码,可能会发现注释中的提示,例如source.php文件。访问这个文件后,可能会得到PHP代码,这时候需要进行代码审计。代码中可能存在文件包含漏洞,比如使用include或require函数,并且参数未经过滤或过滤不严。 在代码审计过程中,需要关注如何绕过安全措施。例如,代码中可能检查参数是否在白名单中,或者是否以特定字符串开头。这时候可能要用到目录穿越,比如使用../../../../etc/passwd这样的路径,或者利用PHP伪协议如php://filter来读取源代码。 另外,可能还需要考虑服务器的文件结构,比如flag文件的位置,常见的如/flag,/var/www/html/flag.txt等。通过构造合适的payload,利用文件包含漏洞来读取这些文件。 还需要注意题目是否有其他陷阱,比如需要绕过strpos检查,或者利用二次编码来绕过过滤。例如,如果代码检查参数是否以某个字符串开头,可以通过编码绕过,比如使用%2566来代表f,因为服务器可能进行两次URL解码。 然后,总结解题步骤:查看源代码找到提示文件,审计代码找漏洞点,构造payload绕过过滤,读取flag文件。同时,要确保每一步都符合题目的具体设置,可能不同的题目会有不同的过滤方式,需要根据实际情况调整payload。 最后,生成相关问题,覆盖文件包含漏洞、PHP伪协议、代码审计等方面,帮助用户深入理解相关知识点。</think>### [HCTF 2018]WarmUp 解题思路 #### 1. 初始页面与源代码分析 - 访问题目地址后,页面显示一个卡通笑脸表情。 - **关键操作**:查看页面源代码,发现注释中提示 `source.php`,访问该路径获取服务器端PHP代码[^1]。 #### 2. 代码审计关键点 ```php <?php class emmm { public static function checkFile(&$page) { $whitelist = ["source" => "source.php", "hint" => "hint.php"]; if (!isset($page) || !is_string($page)) { echo "you can't see it"; return false; } if (in_array($page, $whitelist)) { return true; } $_page = mb_substr($page, 0, mb_strpos($page . '?', '?')); if (in_array($_page, $whitelist)) { return true; } $_page = urldecode($page); $_page = mb_substr($_page, 0, mb_strpos($_page . '?', '?')); if (in_array($_page, $whitelist)) { return true; } echo "you can't see it"; return false; } } if (empty($_REQUEST['file'])) { include 'hint.php'; } else { $file = $_REQUEST['file']; if (emmm::checkFile($file)) { include $file; } else { echo "you can't see it"; } } ``` - **漏洞点**:`include $file` 存在文件包含漏洞,但需通过 `checkFile()` 校验。 - **绕过逻辑**: 1. `$whitelist` 白名单仅允许 `source.php` 和 `hint.php`。 2. 利用 `mb_substr` 截取 `?` 前的路径,结合多次URL解码绕过检查。 #### 3. 构造Payload读取flag - **hint.php提示**:`flag not here, and flag in ffffllllaaaagggg`(暗示flag文件路径)。 - **Payload构造**: ```url file=source.php?/../../../../../ffffllllaaaagggg ``` - 原理:利用 `?` 截断路径检查,通过目录穿越访问根目录下的目标文件。 #### 4. 其他绕过方式 - **PHP伪协议**(若服务器允许): ```url file=php://filter/read=convert.base64-encode/resource=ffffllllaaaagggg ``` - **二次URL编码**(应对严格过滤): ```url file=source.php%253F/..%252F..%252F..%252F..%252F..%252Fffffllllaaaagggg ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值