buuctf warmup 超详细

目录

1.代码审计:

2.逻辑分析

3.总结分析

4.分析记录

5.疑点解答


1.代码审计:

<?phphighlight_file(__FILE__);class emmm                          //定义了一个类{public static function checkFile(&$page)          类里面又申明创建了一个函数{$whitelist = ["source"=>"source.php","hint"=>"hint.php"]; //创建了一个白名单字典,在php当中字典就是一种具有映射关系的数组。if (! isset($page) || !is_string($page)) {    //如果没有设置page的值或者说page不是字符串,那么就return 为假echo "you can't see it";                    return false;}if (in_array($page, $whitelist)) {   //使用in_array函数,判断某个元素是否在数组当中,这里是字典的话,就是判断某个值是否在数组当中存在,注意,字典只会判断某个值//是否在字典当中存在,也就是说查找的是值,而不是键				return true;                     //返回真}$_page = mb_substr(              //mb_substr和substr的功能大致都是一致的,用来截取子串,但是mb有个特点就是,它可以指定字符编码,在处理非英文字符时会比较好//substr(主串,start,length) ,start为开始下标,从0开始$page,0,mb_strpos($page . '?', '?')       //strpos用来查找指定字符在主串当中第一次出现的下标位置,strpos(主串,要查找的字符,可选参数,起始下标));if (in_array($_page, $whitelist)) {return true;                     //返回真}$_page = urldecode($page);          //url解码之后的参数赋值给一个新的变量$_page = mb_substr($_page,                       0,mb_strpos($_page . '?', '?')        // 先把原有的参数和?进行拼接,再查找?的序号);if (in_array($_page, $whitelist)) {       判断page的值是否在whilelist这个字典的值当中存在,注意是只查找值不是键return true;                       // return 真}echo "you can't see it";return false;                        //否则返回假}}if (! empty($_REQUEST['file'])                  //主题部分,通过file传递参数非空并且file的值为字符串并且对file调用上面类中的方法返回值为真//这三个条件同时满足,才会进入到下一步&& is_string($_REQUEST['file'])&& emmm::checkFile($_REQUEST['file'])) {include $_REQUEST['file'];            //把传入的字符串进行文件包含,include函数会把一个文件包含进来并且执行就是说我们要传递的file是一个文件名或者说是服务器当中的一个文件路径更加准确,然后这里会把它//就是说我们要传递的file是一个文件名或者说是服务器当中的一个文件路径更加准确,然后这里会把它exit;								//进行包含进来。本题的关键就是在这里,就是通过传递文件名,进行文件包含,包含存在flag的文件,那么我们就可以得到flag了} else {echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";}  
?>   

2.逻辑分析

我们通过在get请求当中构造file参数,参数得是字符串,还要满足check函数,才会执行下面的内容,把文件给包含执行进来
根据提示 找到flag信息  但是直接访问不行 因为进入到check函数会执行到最后返回flase


所以说给的flag信息路径应该不是直接访问的,应该存在着某种相对路径

但是我们构造的路径当中还要包含白名单当中的内容才可以返回true
check函数有很多种可能会返回真值,所以要进行构造
但是直接拼接../../../不行 不满足true
所以在前面加上source试试还是不行,考虑他这里check函数会在尾部拼接问号,但是直接在尾部拼接问号在结合strpos和substr得到的还是原来的字符串
每一个if都会判断是不是在白名单当中,必须要在白名单当中才会返回true ,又因为他有strpos函数去定位?的位置再去截取之后再判断
所以我们可以构造一个? 使得它在被截取之后是白名单的内容
所以 尝试自己构造问号  source.php?../../ffffllllaaaagggg

这样的话再执行check函数的时候
这里可以返回true

3.总结分析

涉及到的代码审计,而且比较考验思维,还有就是要熟悉php的常见函数

4.分析记录

 <?php
    highlight_file(__FILE__);
    class emmm                          //定义了一个类
    {
        public static function checkFile(&$page)          类里面又申明创建了一个函数
        {
            $whitelist = ["source"=>"source.php","hint"=>"hint.php"]; //创建了一个白名单字典,在php当中字典就是一种具有映射关系的数组。
            if (! isset($page) || !is_string($page)) {    //如果没有设置page的值或者说page不是字符串,那么就return 为假
            
                echo "you can't see it";                    
                return false;
            }

            if (in_array($page, $whitelist)) {   //使用in_array函数,判断某个元素是否在数组当中,这里是字典的话,就是判断某个值是否在数组当中存在,注意,字典只会判断某个值
                                                //是否在字典当中存在,也就是说查找的是值,而不是键                
                return true;                     //返回真
            }

            $_page = mb_substr(              //mb_substr和substr的功能大致都是一致的,用来截取子串,但是mb有个特点就是,它可以指定字符编码,在处理非英文字符时会比较好
                                             //substr(主串,start,length) ,start为开始下标,从0开始
                $page,
                0,
                mb_strpos($page . '?', '?')       //strpos用来查找指定字符在主串当中第一次出现的下标位置,strpos(主串,要查找的字符,可选参数,起始下标)
            );
            if (in_array($_page, $whitelist)) {
                return true;                     //返回真
            }

            $_page = urldecode($page);          //url解码之后的参数赋值给一个新的变量
            $_page = mb_substr(
                $_page,                       
                0,
                mb_strpos($_page . '?', '?')        // 先把原有的参数和?进行拼接,再查找?的序号
            );
            if (in_array($_page, $whitelist)) {       判断page的值是否在whilelist这个字典的值当中存在,注意是只查找值不是键
                return true;                       // return 真
            }
            echo "you can't see it";
            return false;                        //否则返回假
        }
    }

    if (! empty($_REQUEST['file'])                  //主题部分,通过file传递参数非空并且file的值为字符串并且对file调用上面类中的方法返回值为真
                                                   //这三个条件同时满足,才会进入到下一步
        && is_string($_REQUEST['file'])
        && emmm::checkFile($_REQUEST['file'])
    ) {
        include $_REQUEST['file'];            //把传入的字符串进行文件包含,include函数会把一个文件包含进来并且执行就是说我们要传递的file是一个文件名或者说是服务器当中的一个文件路径更加准确,然后这里会把它
        //就是说我们要传递的file是一个文件名或者说是服务器当中的一个文件路径更加准确,然后这里会把它
         exit;                                //进行包含进来。本题的关键就是在这里,就是通过传递文件名,进行文件包含,包含存在flag的文件,那么我们就可以得到flag了
    } else {
        echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
    }  
?>  

5.疑点解答

我相信很多人和我会有一个疑问,就是明明page当中有一个问号,那么在文件包含的时候是怎样包含到后面的内容的呢。

我也想了好久,最后了解到一个php当中include、require函数在进行文件包含的时候,有这样一个规则:在PHP中,当使用include函数引入文件时,如果文件路径中包含查询字符串,PHP会忽略查询字符串部分,只解析文件路径部分。 那什么是参数当中的路径部分呢?就是只包括文件名称和路径分隔符,或者由他们组成的整体,如果有问号?那么就在?后面查找文件路径,问号就是查询字符串,也就是说只会查找符合格式的文件路径。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/747052.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

移动通信网络AT指令

PLMN 移动通信网络PLMN = MCC + MNC,PLMN由MCC移动国家码和MNC移动网络码组成,例如:中国移动GSM的PLMN为:46000(MCC:460, MNC:00)中国联通GSM的PLMN国家码MCC为460,网络码MNC为01: 46001中国大陆相关的移动网络码:中国移动系统使用00、02、04、07,中国联通GSM系统…

题目 2656: 蓝桥杯2022年第十三届省赛真题-刷题统计

时间限制: 3s 内存限制: 320MB 提交: 31968 解决: 5255 题目描述 小明决定从下周一开始努力刷题准备蓝桥杯竞赛。他计划周一至周五每天做 a 道题目&#xff0c;周六和周日每天做 b 道题目。请你帮小明计算&#xff0c;按照计划他将在第几天实现做题数大于等于 n 题&#xff1…

3、Redis持久化之RDB

Redis持久化之RDB 何为持久化&#xff1f;所谓持久化就是将数据持久化保存&#xff0c;也就是将数据保存到硬盘中。 Redis持久化的方法&#xff1a; RDB AOF AOF在下一篇介绍 什么是RDB RDB是redis默认的持久化策略&#xff0c;在RDB模式下&#xff0c;可以将redis在内存…

Android 架构师研发技术进阶之路:不同阶段需要掌握的那些技术及软技能

资深 而到了资深层次&#xff0c;技术栈已经不再是阻碍。能够从更高层面看待问题&#xff0c;理解整个系统的设计&#xff0c;作为系统架构师的角色存在。 1. 理解微服务、SOA思想&#xff0c;对于后端开发有一定涉猎。 2. 了解前端研发工具和思想&#xff0c;知道vue react…

centos破解root密码以及如何防止他人破解root密码

目录 破解root密码 服务器重启 1.再重启页面上下选择第一个按e进入内核编辑模式 2.找到linux16开头的一行&#xff0c;光标移动到最后添加 init/bin/sh Ctrlx 保存 3.进入单用户模式 4.重新挂在根分区 5.关闭selinux 6.更新密码 passwd 7.在根分区下面创建一个隐藏文件…

【C语言步行梯】一维数组、二维数组介绍与应用详谈

&#x1f3af;每日努力一点点&#xff0c;技术进步看得见 &#x1f3e0;专栏介绍&#xff1a;【C语言步行梯】专栏用于介绍C语言相关内容&#xff0c;每篇文章将通过图片代码片段网络相关题目的方式编写&#xff0c;欢迎订阅~~ 文章目录 为什么要有数组&#xff1f;一维数组数组…

uni-app微信小程序上拉加载,下拉刷新

pages.json配置官网链接 onPullDownRefresh、onReachBottom函数跟生命周期同级 data() {return {orderList:[],total: null, //总共多少条数据page: 1,pageSize: 10,} }, onLoad() {}, mounted(){this.getInfo() }, methods:{getInfo(){API.getListxxx().then(res > {const…

探索TikTok云手机在社交媒体营销的作用

近年来&#xff0c;TikTok作为全球短视频平台之一&#xff0c;其用户基数呈现持续增长的趋势。伴随社交媒体的蓬勃发展&#xff0c;企业和个人纷纷涌入TikTok平台&#xff0c;追求更广泛的曝光和用户互动。为满足这一需求&#xff0c;TikTok云手机应运而生。本文将深度剖析TikT…

蓝桥杯[OJ 1621]挑选子串-CPP-双指针

目录 一、题目描述&#xff1a; 二、整体思路&#xff1a; 三、代码&#xff1a; 一、题目描述&#xff1a; 二、整体思路&#xff1a; 要找子串&#xff0c;则必须找头找尾&#xff0c;找头可以遍历连续字串&#xff0c;找尾则是要从头的基础上往后遍历&#xff0c;可以设头…

【JS逆向学习】猿人学第六题 js混淆 回溯

逆向目标 网址&#xff1a;https://match.yuanrenxue.cn/match/6接口&#xff1a;https://match.yuanrenxue.cn/api/match/6参数&#xff1a;payload(m、q) 逆向过程 老规矩&#xff0c;先来分析网络请求&#xff0c;加密的地方一目了然&#xff0c;没什么可多说的&#xff…

【阿里云系列】-部署ACK集群的POD应用日志如何集成到日志服务(SLS)中

介绍 我们在实际部署应用到阿里云的ACK集群后&#xff0c;由于后期应用服务的持续维护诉求可能需要跟踪排查问题&#xff0c;此时就要具备将应用的历史日志存档便于后期排查问题 处理方式 为了解决以上的普遍需求&#xff0c;需要将ACK中的应用日志采集到SLS的Logstore中,然…

通付盾Web3专题 | SharkTeam:2023年加密货币犯罪分析报告

2023年&#xff0c;Web3行业共经历了940多起大大小小的安全事件&#xff0c;同比2022年增长了超过50%&#xff0c;损失金额达到17.9亿美元。其中&#xff0c;第三季度发生的安全事件最多&#xff08;360起&#xff09;&#xff0c;损失最大&#xff08;7.4亿美元&#xff09;&a…

CMS垃圾收集

初始标记 需要暂停所有的其他线程&#xff0c;但这个阶段会很快完成。它的目的是标记所有的根对象&#xff0c;以及被根对象直接引用的对象&#xff0c;以及年轻代指向老年代的对象&#xff0c;不会遍历对象关系&#xff0c;单线程执行。 并发标记阶段 不需要暂停应用线程&a…

数据集成平台选型建议

一 数据集成介绍 数据集成平台是一种用于管理和协调数据流动的软件工具或服务。它的主要目标是将来自多个不同数据源的数据整合到一个统一的、易于访问和分析的数据存储库中。这些数据源可以包括数据库、云应用、传感器、日志文件、社交媒体等等。数据集成平台的关键任务是确保…

linux 搞一个后悔药(回收站)—— 筑梦之路

主要功能 de&#xff08;删除&#xff09; dr&#xff08;撤销&#xff09; dl&#xff08;列出回收站&#xff09; cleardall&#xff08;清空回收站&#xff09; 如何实现 1. 创建一个隐藏目录 mkdir -p ~/.Recycle_bin 2. 修改 ~/.bashrc vim ~/.bashrc# 添加如下内容al…

[JavaWeb学习日记]Vue工程,springboot工程整合Mybatis,数据库索引

目录 一.Vue工程 安装NodeJS与Vue-cli Vue项目创建 启动Vue项目&#xff1a;点击npm脚本serve 改端口&#xff1a;在vue.config.js下 Vue文件组成&#xff1a;templatescriptstyle 使用element 前端服务器当前使用Ngix 主要编写的文件 二.SpringBoot的Web工程 启动带…

Android红外遥控ConsumerIrManager

目录 一、申请权限 二、ConsumerIrManager(消费者红外管理器) 三、判断是否有红外功能 四、发射红外信号 1.准备用于发射的信息 2.消费者红外管理器发射信息 五、案例代码一览 红外遥控是一种近红外光线(频率为几万赫兹)作为遥控光源的遥控方式。 在Android4.4后提供了…

腾讯云4核8G服务器支持多少人在线?CPU性能如何?

腾讯云轻量4核8G12M服务器配置446元一年&#xff0c;646元12个月&#xff0c;腾讯云轻量应用服务器具有100%CPU性能&#xff0c;系统盘为180GB SSD盘&#xff0c;12M带宽下载速度1536KB/秒&#xff0c;月流量2000GB&#xff0c;折合每天66.6GB流量&#xff0c;超出月流量包的流…

uniapp-vue3 项目初始化集成配置【开箱即用】

地址 https://gitee.com/charrie/vue3-uniapp-init 部分截图展示 技术说明 采用vue3viteuniapp技术栈&#xff0c;setup语法糖编码方式使用完全免费的sard-uniapp组件库引入unocss量子化样式引擎&#xff0c;动态css不用自己写样式&#xff0c;引用class即可&#xff0c;降低…

【SQL注入】Sqlmap使用指南(手把手保姆版)持续更新

文章目录 一、sqlmap介绍二、sqlmap命令行参数用法讲解2.1常用用法-u--batch--flush-session--dbms--level--random-agent--user-agent--tamper--technique-p--skip基础用法查询列表2.2 高阶用法-v高阶用法查询列表 一、sqlmap介绍 官网下载地址&#xff1a;https://github.co…