知识点讲解
这一题主要是利用了include的特性
如果include的文件名中含有“/”,那么它会识别其为一个带目录的文件,只有最后一个“/”后的字符串对应的文件会被包含,而前面的字符串都只是在指定目录
意思是,如果我们的payload是这样的
?file=hint.php?/…/…/…/…/flag
对于include来说,就只会识别"/"后面的内容,变成
?file=…/…/…/…/flag
了解了这个特性之后,我们就可以开始做题了
总思路
打开页面
是一个滑稽的页面,没有什么别的提示,我们看一下源码吧
得到一个source.php,我们访问一下看看
我们来分析一下这串代码,先定义了一个class类,我们先不管他,先看下面的
if (! empty($_REQUEST['file'])
&& is_string($_REQUEST['file'])
&& emmm::checkFile($_REQUEST['file'])
) {
include $_REQUEST['file'];
exit;
} else {
echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
}
要接收一个名为file的传参,用post或者get传都可以,并且它要是字符串,还要通过checkFile函数的检查,如果都通过了,就会包含我们传入的file参数,如果没通过,就会打印滑稽这个图片
了解了我们需要怎么获得flag之后,我们再来分析下checkFile这个函数
public static function checkFile(&$page)
{
$whitelist = ["source"=>"source.php","hint"=>"hint.php"];
if (! isset($page) || !is_string($page)) {
echo "you can't see it";
return false;
}
if (in_array($page, $whitelist)) {
return true;
}
$_page = mb_substr(
$page,
0,
mb_strpos($page . '?', '?')
);
if (in_array($_page, $whitelist)) {
return true;
}
$_page = urldecode($page);
$_page = mb_substr(
$_page,
0,
mb_strpos($_page . '?', '?')
);
if (in_array($_page, $whitelist)) {
return true;
}
echo "you can't see it";
return false;
}
整体来看,主要是四个if,并且他们不是ifelse关系,只要满足其中一个if就行,如果一个if都不满足,就返回you can’t see it,并且为false,我们分段来分析一下
首先是第一段
$whitelist = ["source"=>"source.php","hint"=>"hint.php"];
if (! isset($page) || !is_string($page)) {
echo "you can't see it";
return false;
}
if (in_array($page, $whitelist)) {
return true;
}
定义了一个whitelist,source.php跟hint.php,并且传入的参数得为字符串,而且传入的参数得在whitelist里面,否则就返回false不通过
再看第二段
$_page = mb_substr(
$page,
0,
mb_strpos($page . '?', '?')
);
if (in_array($_page, $whitelist)) {
return true;
}
这里使用了两个函数,分别为mb_substr何mb_strpos,我们简单解释一下这两个函数
mb_substr() 函数返回字符串的一部分,我们都知道substr() 函数,它只针对英文字符,如果要分割的中文文字则需要使用 mb_substr()。
这里的意思是待分割字符串为$page,从第0位开始,到mb_strpos($page . ‘?’, ‘?’)位
注释:如果 start 参数是负数且 length 小于或等于 start,则 length 为 0。
mb_strpos函数返回要查找的字符串在别一个字符串中首次出现的位置
这里是获得$page首次出现的位置,比如我们传入的字符串为source.php?xxxxxx它就会获取到?前的位置就是10
这一段截取的结果就是source.php
这一段的意思就是,截取我们传入的字符串?前面的字符,然后去判断,是否在whitelist里面,如果在,就返回true
我们再看看第三段
$_page = urldecode($page);
$_page = mb_substr(
$_page,
0,
mb_strpos($_page . '?', '?')
);
if (in_array($_page, $whitelist)) {
return true;
}
echo "you can't see it";
return false;
把我们传入的东西进行url解码后进行跟第二段一样的字符串截取,然后进行第二段一样的判断
解题
我们主要是满足第二个if,刚开始的时候,我说过,如果传入的参数有"/“,那么include的时候,他就只会包含”/"后面的东西,我们就利用这一点,来包含flag文件
我们查看一下hint.php的内容
获得了flag文件的名字ffffllllaaaagggg,我们就可以构造payload来包含文件了
成功获取到flag,最终的payload为:?file=hint.php?/…/…/…/…/…/ffffllllaaaagggg
