关注我

:D 一言句子获取中...

链接

最新文章

分类

归档

标签

buuctf29
Buuctf5
PHP2
RCE2
php变量覆盖2
伪协议2
Buuctf PHP代码审计 文件包含1
Buuctf SQL1
Html和css1

订阅更新

最新文章

分类

归档

标签

buuctf29
Buuctf5
PHP2
RCE2
php变量覆盖2
伪协议2
Buuctf PHP代码审计 文件包含1
Buuctf SQL1
Html和css1

订阅更新

×
文章
0CTF-2016-piapiapia [0CTF 2016]piapiapia进入网页发现是一个登录界面,尝试发现有register.php,登陆后有一个文件上传,有上传后的展示页面 御剑+dirmap扫,有访问控制,扫挺慢…… 御剑扫出 11.29日一周学习记录 11.29日一周学习记录 HTML在慕课网上找了HTML(5)+CSS(3)的入门课程,过了一下(尚未学完),用记事本简单记了一些知识点。 Html和css笔记 PHP也是在慕课网上找的入门课程,一天 1.basic_rce 1.题目:123456<?php//拿到flag就不要乱玩了哦~error_reporting(0);show_source(__FILE__);eval($_GET['a']);?> 2 1.两数之和 题目链接:https://leetcode-cn.com/problems/two-sum/ 开始回忆几乎快忘完的c语言知识,同时学java…… 1.思路双循环遍历数组; 看题解,指针没怎么学过,哈希 2021ångstromCTF-Jar 2021ångstromCTF-Jarhttps://2021.angstromctf.com/challenges 做了一道外国赛题…… 记得做ikun题的时候好像接触过jar(泡菜,python反
页面
(无标题) 签到访问地址发现跳转到主办方官网,抓包看跳转内容 可以看到跳转页面写有flag (无标题) Ezphpindex: 123456789101112<?phphighlight_file(__FILE__);$b = 'implode';call_user_func($_GET['f'] (无标题) 个人简介 分享很喜欢的老罗的一段话: “每一个生命来到世间都注定改变世界,别无选择。要么变得好一点,要么变得坏一点。你如果走进社会为了生存为了什么不要脸的理由,变成了一个恶心的成年人社会中的一员,那你 (无标题) ezphp1http://b6863fec-f86d-4e86-9ebe-770c72b403e9.zzctf.dasctf.com/?link_page=about 测试url: 报错,assert categories
分类
学习报告 (学习报告) WEB (WEB) LeetCode (LeetCode) web (web) 笔记 (笔记)
标签
RCE (RCE) PHP (PHP) php变量覆盖 (php变量覆盖) Buuctf PHP代码审计 文件包含 (Buuctf-PHP代码审计-文件包含) buuctf (buuctf)
TF-2018-WarmUp
题目地址:

解题过程:

网页上打开就只有一个大滑稽,网页名是Document,所以是文件包含?提交file参数,一直是:you can’t see it。

题目标签是代码审计,我也没看到代码啊……

查看源代码看到source.php内心毫无波澜,后来查找才知道要访问它……(菜\1)*

好,访问source.php我终于看到代码了:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
<?php
    highlight_file(__FILE__);
    class emmm
    {
        public static function checkFile(&$page)
        {
            $whitelist = ["source"=>"source.php","hint"=>"hint.php"];
            if (! isset($page) || !is_string($page)) {
                echo "you can't see it";
                return false;
            }

            if (in_array($page, $whitelist)) {
                return true;
            }

            $_page = mb_substr(
                $page,
                0,
                mb_strpos($page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }

            $_page = urldecode($page);
            $_page = mb_substr(
                $_page,
                0,
                mb_strpos($_page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }
            echo "you can't see it";
            return false;
        }
    }

    if (! empty($_REQUEST['file'])
        && is_string($_REQUEST['file'])
        && emmm::checkFile($_REQUEST['file'])
    ) {
        include $_REQUEST['file'];
        exit;
    } else {
        echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
    }  
?>

到目前为止还没有看到过这么长的代码审计(菜\2)*

先看与file有关的代码:

1
2
3
4
5
6
if (! empty($_REQUEST['file'])
        && is_string($_REQUEST['file'])
        && emmm::checkFile($_REQUEST['file'])
    ) {
        include $_REQUEST['file'];
        exit;

file要求是字符串且不为空,用emmm中的checkFile调用。file中的值传递给了page。checkFile中四个if语句,每个都有return。

第一个if:
1
2
3
4
5
$whitelist = ["source"=>"source.php","hint"=>"hint.php"];
            if (! isset($page) || !is_string($page)) {
                echo "you can't see it";
                return false;
            }

先设置了一个白名单数组,准许访问source.php和hint.php,hint.php中存放了flag的位置。第一个if语句要求page存在且为字符串,不符合则return false,退出程序。

第二个if:
1
2
3
if (in_array($page, $whitelist)) {
                return true;
            }

in_array()函数在page中查找是否有与whitelist中键值对应的字符串。有则return true,退出程序。

第三个if:
1
2
3
4
5
6
7
8
$_page = mb_substr(
                $page,
                0,
                mb_strpos($page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }

mb_strpos为page拼接了一个?,并返回其**第一次出现的位置**。mb_substr从开头显示字符至?所在的位置,处理后page再次进行比对。

那不是只能读source.php了?……$_page啊,那没事了……(菜\3)*

第四个if:
1
2
3
4
5
6
7
8
9
10
11
$_page = urldecode($page);
            $_page = mb_substr(
                $_page,
                0,
                mb_strpos($_page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }
            echo "you can't see it";
            return false;

先对page进行了url编码,再进行读取和对比的操作……

注意:PHP中$_GET、$_POST、$_REQUEST这类函数在提取参数值时会URL解码一次

这位师傅上面写第三个if不能利用,但逻辑理通之后我感觉也是可以利用的。

?一次编码为%3F,二次编码为%253F,那么第三个if的利用需要if的一次编码。

第三个if利用:

payload:?file=source.php%3F../../../../../../ffffllllaaaagggg(服务器找不到source.php%3F,就视为一个文件夹)

image-20201201140413227

成功出flag

第四个if利用:

自然,需要二次编码的’?‘。

payload:?file=source.php%253F../../../../../../ffffllllaaaagggg

image-20201201140836595

总算做了点实在事……

知识点总结:

补充https://www.feiniaomy.com/post/388.html

 WEB
  
 Buuctf PHP代码审计 文件包含
 2020-11-27  /2020/11/27/4-php变量覆盖-2/ 99+   1 分钟   0.2 k

4.php变量覆盖.2

1.题目
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
<?php
highlight_file(__FILE__);
include "flag.php";

$_403 = "拒绝访问";
$_200 = "欢迎~~~";

if ($_SERVER["REQUEST_METHOD"] != "POST")
    die("sssssssspost…");

if ( !isset($_POST["flag"]) )
    die($_403);

foreach ($_GET as $key => $value)
    $$key = $$value;

foreach ($_POST as $key => $value)
    $$key = $value;

if ( $_POST["flag"] !== $flag )
    die($_403);

echo "This is your flag : ". $flag . "\n";
die($_200);

?>
 WEB
  
 php变量覆盖
阅读更多>>
关注我

:D 一言句子获取中...

链接

最新文章

分类

归档

标签

buuctf29
Buuctf5
PHP2
RCE2
php变量覆盖2
伪协议2
Buuctf PHP代码审计 文件包含1
Buuctf SQL1
Html和css1

订阅更新

×
文章
0CTF-2016-piapiapia [0CTF 2016]piapiapia进入网页发现是一个登录界面,尝试发现有register.php,登陆后有一个文件上传,有上传后的展示页面 御剑+dirmap扫,有访问控制,扫挺慢…… 御剑扫出 11.29日一周学习记录 11.29日一周学习记录 HTML在慕课网上找了HTML(5)+CSS(3)的入门课程,过了一下(尚未学完),用记事本简单记了一些知识点。 Html和css笔记 PHP也是在慕课网上找的入门课程,一天 1.basic_rce 1.题目:123456<?php//拿到flag就不要乱玩了哦~error_reporting(0);show_source(__FILE__);eval($_GET['a']);?> 2 1.两数之和 题目链接:https://leetcode-cn.com/problems/two-sum/ 开始回忆几乎快忘完的c语言知识,同时学java…… 1.思路双循环遍历数组; 看题解,指针没怎么学过,哈希 2021ångstromCTF-Jar 2021ångstromCTF-Jarhttps://2021.angstromctf.com/challenges 做了一道外国赛题…… 记得做ikun题的时候好像接触过jar(泡菜,python反
页面
(无标题) 签到访问地址发现跳转到主办方官网,抓包看跳转内容 可以看到跳转页面写有flag (无标题) Ezphpindex: 123456789101112<?phphighlight_file(__FILE__);$b = 'implode';call_user_func($_GET['f'] (无标题) 个人简介 分享很喜欢的老罗的一段话: “每一个生命来到世间都注定改变世界,别无选择。要么变得好一点,要么变得坏一点。你如果走进社会为了生存为了什么不要脸的理由,变成了一个恶心的成年人社会中的一员,那你 (无标题) ezphp1http://b6863fec-f86d-4e86-9ebe-770c72b403e9.zzctf.dasctf.com/?link_page=about 测试url: 报错,assert categories
分类
学习报告 (学习报告) WEB (WEB) LeetCode (LeetCode) web (web) 笔记 (笔记)
标签
RCE (RCE) PHP (PHP) php变量覆盖 (php变量覆盖) Buuctf PHP代码审计 文件包含 (Buuctf-PHP代码审计-文件包含) buuctf (buuctf)