攻防世界 web write-up warmup

最新推荐文章于 2024-08-26 08:33:41 发布
最新推荐文章于 2024-08-26 08:33:41 发布
阅读量398 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44092699/article/details/105604424
本文详细介绍了如何通过分析页面源代码和URL编码技巧,利用文件包含漏洞获取敏感信息。通过逐步解析PHP代码和理解条件判断逻辑,成功定位flag文件,并通过构造特定URL获取目标文件。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

warmup

【题目】

在这里插入图片描述

【步骤】

  • 首先查看页面源代码,发现有提示:source.php,进入该页面

  • 得到一串php代码
    在这里插入图片描述

  • 在代码中,whitelist中包含两个php文件,提示我们进入hint.php,打开后得到flag文件的大概位置
    在这里插入图片描述

  • 在source.php中,有四个用来检测page变量:

  • 若page为字符串,返回true;

  • 若page存在whitelist中,返回true

  • 若page截取后存在于whitelist中,返回true;

  • 对page进行url解码并截取,若page存在于whitelist中,返回true;

第二个语句直接判断$page,不可用
第三个语句截取'?'前部分,由于?被后部分被解析为get方式提交的参数,也不可利用
第四个if语句中,先进行url解码再截取,因此我们可以将?经过两次url编码,在服务器端提取参数时解码一次,checkFile函数中解码一次,仍会解码为'?',仍可通过第四个if语句校验。('?'两次编码值为'%253f',构造url:
http://399fe153-1f62-43d5-a67f-e645a0e7ac66.node3.buuoj.cn/source.php?file=source.php%253f../ffffllllaaaagggg<br><br>经过测试发现无返回值,这可能是因为我们不知道ffffllllaaaagggg文件存放的具体位置<br>所以依次增加../,最终成功拿到flag

在这里插入图片描述

Mr.DC30
关注
攻防世界 WEB easy_laravel
qq_41696858的博客
02-06 3773
这题我一开始是在攻防世界做的,但是不知道今天靶场又抽什么风了。。。。反正两个靶场配置有点不一样,但是出入不是很大,BUUCTF需要提前手动利用管理员邮箱reset_password一下,攻防世界不需要 打开场景,审计页面源码,发现源码地址直接给出来了,非常的简单粗暴啊 https://github.com/qazxcv123/easy_laravel 建议把源码下下来,自己搭个环境慢慢看,不然不方便。那就看源码呗,先看路由,mvc的入口点 哦对了先说一下,larvel是一个PHP的web框架 在一个个尝试路
攻防世界 web高手进阶区 9分题 smarty
闵行小鱼塘
10-17 3522
继续ctf的旅程,开始攻防世界web高手进阶区的9分题,本文是smarty的writeup
攻防世界web warmup writeup
qq_45837896的博客
08-01 332
打开给的环境发现一个滑稽…于是查看源代码看看有什么提示 根据提示打开目标网页 发现源代码网页,其中还提示了一个叫做hint.php的页面,打开它发现是 它提示在这个文件里有flag,先保留这个信息继续代码审计 根据代码我们知道 1.传入一个字符串file值 2.file值能通过checkFile函数的检验 3.不然就给一个大滑稽 再对checkFile函数进行查看 发现以下几点, 1.传入的file必须是字符串 2.传入的值必须在whitelist白名单中 3.然后用mb_substr函数对page进
攻防世界高手进阶区php2,攻防世界 web高手进阶区 9分题 smarty
weixin_30652105的博客
03-13 422
前言继续ctf的旅程开始攻防世界web高手进阶区的9分题本文是smarty的writeup解题过程smarty是php模板引擎这题应该是一个SSTI进入界面根据题目和页面最下方build with smarty确认是用smarty模板那就有两种可能的注入点:XFFclient IP尝试将XFF头改为{7*7}发现current IP的值变为了49可以确定这里存在SSTI尝试注入{$smarty.v...
18年护网杯 Easy Laravel Writeup
Tel_milk的博客
11-22 1427
2018护网杯Easy Laravel Writeup,CTF平台攻防世界,难度10
easyphp攻防世界详细题解
m0_74312676的博客
10-29 582
这array_search()在查找元素的时候是进行弱类型比较,而在PHP里字符串==0是成立的,即“DGGJ"==0是成立的,因此,要保证在c["n"]中有0,即可绕过array_search的判断。如果没有找到,则输出"no..."并终止执行。这是上述if条件的else部分,如果上述所有的条件检查都没有通过,那么会执行这里的代码,输出"no hack"并终止执行。这行代码的作用是在"n"键的数组中搜索"DGGJ"这个值,并返回其索引位置。的检查没有通过,那么会执行这里的代码,输出"no"并终止执行。
攻防世界-web题型-10星难度-个人wp
dreamer292的博客
08-26 1609
到此攻防世界web题型所有都做了一遍,有一些题目因为环境的原因没有完成还有一些是打着web考的是其他方向的知识点,确实还是很有难度的,不过经过这段时间的靶场沉淀我能明显的感受到在真实环境下也有很多渗透的思路和一个大致的流程和打靶场是一样的。
攻防世界-easyRE1
DeMaJIKA的博客
11-17 291
后,我们可以直接看到flag的值为db2f62a36a018bce28e46d976e3f9864。然后在攻防世界输入:flag{db2f62a36a018bce28e46d976e3f9864}我们随机先选一个文件用Exeinfo工具查壳,我选择是easy-32。我们可以发现该程序为ELF文件 32位 ,没壳。一个是32位的文件,一个是64位的文件。首先下载文件,下载好是一下两个文件。用64位的如上面分析也是这个结果。找到main函数双击F5反编译。
攻防世界--smarty
qq_46263951的博客
01-07 1348
根据题目和页面内容提示,可以知道这里使用的是PHP中的Smarty模板 网上看这个模板存在着模板注入,但是没有找到参数,猜测在请求头 那就有两种可能的注入点: XFF client IP 发现XFF存在注入 测试phpinfo()发现这里禁用了很多函数,并且可访目录也做了限制 使用{if}标签写入一句话木马 {if file_put_contents('/var/www/html/shell.php','<?php eval($_POST[cmd]);')}{/if} ...
攻防世界(web高手进阶区)——32~44题
weixin_43610673的博客
08-04 3010
题号会变动可能不太一样 目录Web_php_wrong_nginx_configCommentZhuanxvWeb_python_block_chainics-02love_mathWeb_python_flask_sql_injection/register路由/edit_profile路由FilemanagerBilibiliSmartyTriangleTimeKeepereasylaravel Web_php_wrong_nginx_config 直接尝试登录,另修改isLogin=1 无效 有r
护网杯2018 easylaravel
weixin_43610673的博客
08-04 1914
easylaravel robots.txt没啥东西 注释给了源码地址,下下来审计 /routes/web.php 查看路由 包里有composer.json 先composer install安装一下相关的包依赖(需要先安装composer) 安装完后项目根目录会有vendor文件夹 composer.lock文件。(因为网络问题一直没安装完。。。也就没composer.lock文件,后来换了阿里云的源才搞定,菜鸟教程那写着的国内源一直不行,不知道咋回事),安装完后才能得到完整源码,毕竟是用的lar
Smarty_smarty_
10-04
Smarty 模板引擎教程,内容主要有基本语法、变量、组合修改器、内建函数、自定义函数、配置文件、控制台调试、缓存、插件扩展、使用技巧和经验等,比较详细的一个中文手册
PHP—Smarty模板
12-01
Smarty是一个使用PHP写出来的模板引擎,是目前业界最著名的PHP模板引擎之一。它分离了逻辑代码和外在的内容,提供了一种易于管理和使用的方法,用来将原本与HTML代码混杂在一起PHP代码逻辑分离。简单的讲,目的就是要使PHP程序员同前端人员分离,使程序员改变程序的逻辑内容不会影响到前端人员的页面设计,前端人员重新修改页面不会影响到程序的程序逻辑,这在多人合作的项目中显的尤为重要。
逆向-攻防世界-easy_re-153
weixin_30296405的博客
06-03 202
strings 命令查看字符,看到UPX,但是直接UPX脱壳,提示压缩数据异常,不知道怎么回事。 放到IDA看看,也不懂,向大佬学习吧。 动态调试这段代码,能得到这个结果, 正好是路径和这个进程号, /proc目录是一种文件系统,即proc文件系统。与其它常见的文件系统不同的是,/proc是一种伪文件系统(也即虚拟文件系统),存储的是当前内核运行状态的一系列特殊文件,用户...
攻防世界-command_execution
weixin_49539962的博客
08-21 151
题目告诉了,这可以执行ping命令且没WAF,那就可以在ping命令后连接其他命令。服务器一般使用Linux,在Linux中可使用“&”连接命令。
攻防世界 Web_php_unserialize的坑
a3320315的博客
09-26 3473
题目要求传入的参数先base64解码,然后再反序列化。 题目中的class有一个私有变量,我知道最后打印出来的序列化内容会在类名前后加%00。 (ps:以前做相关序列化的题是直接GET传入参数,所以浏览器自动解码%00)但是今天我是先把%00加进去再去别的网站进行base64编码,这就是问题所在,编码时不会把%00当做一个特殊字符,结果就是死活不对。其实直接在php里面编码就行了。(菜得真实) ...
攻防世界 web高手进阶区 10分题 email
闵行小鱼塘
11-16 2537
继续ctf的旅程,攻防世界web高手进阶区的10分题,本文是email的writeup
【CTF】攻防世界——easy_RSA(Crypto)
热门推荐
x1a0he1的博客
05-04 1万+
eGl的CTF之路——easy_RSA(Crypto) 早就有动手写博客的想法了,素材也攒了不少,然而万事开头难。最近看到同学在这里发过的博客,终于决定动笔记录一下自己的成长之路了。 第一篇博客记录一道最基本的rsa私钥计算题: RSA的计算过程是: 任选两个大质数p和q,p!=q,计算N=pq 计算N的欧拉函数r(n)=(p-1)(q-1) 任选一个e满足 1<e<r(n) ,且...
攻防世界Web高手进阶部分题目
lalala1031的博客
11-29 317
攻防世界Web高手进阶部分题目 baby_web 首先是观察题目给出的信息。 题目提示到初始页面(其实一开始,我是没注意到的,我是先进入了网址,然后又一头雾水的出来),然后就去查了网站初始页面的性质 就是一般首页的文件名都为index、default、main或portal加上扩展名。 进入场景发现该网址的格式不符合,那就改吧,先尝试把1.php改为index.php,改了之后发现还是跳回了1.php,但是在网络这出现了一个新的包。 点进去,一不小心就发现了隐藏的flag。 flag{very_ba
攻防世界-web-file_include
最新发布
12-06
文件包含漏洞通常出现在Web应用程序中,允许攻击者通过特定的参数或输入来包含并执行任意文件,从而可能导致服务器被完全控制或敏感信息泄露。 文件包含漏洞主要分为两种类型: 1. **本地文件包含(Local File ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值