【BUUCTF系列】[HCTF 2018]WarmUp1

枷锁—sha2025-08-01 15:54

本文仅用于技术研究,禁止用于非法用途。
Author:枷锁

点开题目显示一个图片,没有任何交互功能,我们直接查看网页源代码

我们可以看到有一个歆慕的注释source.php,我们进行拼接,访问一下这个文件

在url后加上/source.php进行访问,可以看到我们访问到一些源码

访问后得到以下关键PHP代码:

php 复制代码 
highlight_file(__FILE__);
class emmm {
    public static function checkFile(&$page) {
        $whitelist = ["source"=>"source.php","hint"=>"hint.php"];
        // ...检查逻辑...
    }
}

if (!empty($_REQUEST['file']) 
    && is_string($_REQUEST['file']) 
    && emmm::checkFile($_REQUEST['file'])) {
    include $_REQUEST['file'];
    exit;
} else {
    echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
}
  1. 文件包含条件
  • $_REQUEST['file']不为空
  • $_REQUEST['file']是字符串类型
  • 通过emmm::checkFile()检查
  • 只有让这三个都是true才能进入include,从而文件包含出flag文件。前两个只要file不为空且是字符串类型即可为true。重点是第三个判断。
  1. checkFile函数逻辑
  • 定义白名单:source.phphint.php
  • 检查输入是否在白名单中
  • 对输入进行URL解码和字符串截取处理
  • 多层检查机制增加了绕过难度
  1. 可利用点
  • 白名单检查可通过路径遍历绕过
  • URL解码特性可被利用
  • include函数对路径的特殊处理方式

解题步骤

第一步:获取提示信息

访问hint.php获取提示:

复制代码 
?file=hint.php

返回提示可能存在ffffllllaaaagggg文件

第二步:构造payload绕过检查

  1. 基本payload结构

    复制代码 
    file=hint.php?/../../../../../ffffllllaaaagggg
    • 利用?截断使hint.php通过白名单检查
    • 使用路径遍历访问目标文件

  2. URL编码处理

    由于服务器会自动进行URL解码,需要构造多层编码:

    复制代码 
    file=hint.php%253F/../../../../../ffffllllaaaagggg

    复制代码 
    file=hint.php%3F%2F..%2F..%2F..%2F..%2F..%2Fffffllllaaaagggg

第三步:理解include机制

路径解析特性

  • PHP的include会尝试解析/分隔的路径
  • 如果前半部分文件不存在,会尝试包含后半部分路径
  • 路径遍历深度足够时能访问到目标文件

技术要点总结

  1. 文件包含漏洞利用
  • 通过白名单绕过实现任意文件包含
  • 结合路径遍历访问敏感文件
  1. URL编码特性
  • 服务器自动解码机制
  • 多层编码绕过技巧
  1. PHP include特性
  • 路径解析的特殊处理
  • 相对路径的计算方式

最终解决方案

最有效的payload为:

复制代码 
?file=hint.php%253F/../../../../../ffffllllaaaagggg

这个payload能够:

  1. 通过白名单检查(解码后为hint.php?
  2. 利用路径遍历访问目标文件
  3. 适应服务器的自动解码机制

宇宙级免责声明​​

🚨 重要声明:本文仅供合法授权下的安全研究与教育目的!🚨

1.合法授权:本文所述技术仅适用于已获得明确书面授权的目标或自己的靶场内系统。未经授权的渗透测试、漏洞扫描或暴力破解行为均属违法,可能导致法律后果(包括但不限于刑事指控、民事诉讼及巨额赔偿)。

2.道德约束:黑客精神的核心是建设而非破坏。请确保你的行为符合道德规范,仅用于提升系统安全性,而非恶意入侵、数据窃取或服务干扰。

3.风险自担:使用本文所述工具和技术时,你需自行承担所有风险。作者及发布平台不对任何滥用、误用或由此引发的法律问题负责。

4.合规性:确保你的测试符合当地及国际法律法规(如《计算机欺诈与滥用法案》(CFAA)、《通用数据保护条例》(GDPR)等)。必要时,咨询法律顾问。

5.最小影响原则:测试过程中应避免对目标系统造成破坏或服务中断。建议在非生产环境或沙箱环境中进行演练。

6.数据保护:不得访问、存储或泄露任何未授权的用户数据。如意外获取敏感信息,应立即报告相关方并删除。

7.免责范围:作者、平台及关联方明确拒绝承担因读者行为导致的任何直接、间接、附带或惩罚性损害责任。
🔐 安全研究的正确姿势:

✅ 先授权,再测试

✅ 只针对自己拥有或有权测试的系统

✅ 发现漏洞后,及时报告并协助修复

✅ 尊重隐私,不越界

⚠️ 警告:技术无善恶,人心有黑白。请明智选择你的道路。

希望这个教程对你有所帮助!记得负责任地进行安全测试。

相关推荐
阿巴斯甜18 小时前
Android 报错:Zip file '/Users/lyy/develop/repoAndroidLapp/l-app-android-ble/app/bu
android
Kapaseker19 小时前
实战 Compose 中的 IntrinsicSize
android·kotlin
xq952720 小时前
Andorid Google 登录接入文档
android
黄林晴21 小时前
告别 Modifier 地狱,Compose 样式系统要变天了
android·android jetpack
冬奇Lab1 天前
Android触摸事件分发、手势识别与输入优化实战
android·源码阅读
城东米粉儿2 天前
Android MediaPlayer 笔记
android
Jony_2 天前
Android 启动优化方案
android
阿巴斯甜2 天前
Android studio 报错:Cause: error=86, Bad CPU type in executable
android
张小潇2 天前
AOSP15 Input专题InputReader源码分析
android
_小马快跑_2 天前
Kotlin | 协程调度器选择:何时用CoroutineScope配置,何时用launch指定?
android
热门推荐
01GitHub 镜像站点02OpenClaw 使用和管理 MCP 完全指南03OpenClaw + 飞书(Feishu)环境搭建指南04【OpenClaw 本地实战 Ep.3】突破瓶颈:强制修改 openclaw.json 解锁 32k 上下文记忆05Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services06OpenClaw优化飞书API 额度已耗尽问题07小黑课堂计算机二级WPSoffice题库软件下载安装教程(2026年3月最新版)08Clawdbot部署教程:解决‘gateway token missing’授权问题的完整步骤09Window 10部署openclaw报错node.exe : npm error code 12810OpenClaw大龙虾机器人完整安装教程