考点：PHP代码审计

抓包发现source.php，访问下，出现了php代码

代码主体在这部分，满足三个条件：file不为空&file是字符串&checkFile通过

    if (! empty($_REQUEST['file'])
        && is_string($_REQUEST['file'])
        && emmm::checkFile($_REQUEST['file'])
    ) {
        include $_REQUEST['file'];
        exit;
    } else {
        echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
    }  

然后就要读懂这个checkfile()的代码逻辑 ，然后进行绕过：

1、in_array(value,array,type)：检查数组中是否存在某个值

value 必需。规定要在数组搜索的值。

array 必需。规定要搜索的数组。

搜索page中是否在whitelist，存在返回true，但page不能为空且要为字符串

            $whitelist = ["source"=>"source.php","hint"=>"hint.php"];
            if (! isset($page) || !is_string($page)) {
                echo "you can't see it";
                return false;
            }

            if (in_array($page, $whitelist)) {
                return true;
            }

whitelist 表示白名单包含source.php和hint.php，再访问hint.php看看，说flag在ffffllllaaaagggg里面

$whitelist = ["source"=>"source.php","hint"=>"hint.php"];

2、搜索_page中是否在whitelist，存在返回true

_page截取的是page从第0位到？出现的位置

$_page = mb_substr(
                $page,
                0,
                mb_strpos($page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }

mb_substr( $str, $start, $length, $encoding ) 截断函数

$str，需要截断的字符串

$start，截断开始处

$length，长度(1就代表一个中文字符)

$encoding，编码，我设为 utf-8

mb_strpos (haystack ,needle )查找字符串needle在字符串haystack中首次出现的位置

3、_page为urldecode后的page，然后截取_page在？前的字符串赋值给_page，最后判断_page是否在whitelist中，是就返回true

            $_page = urldecode($page);
            $_page = mb_substr(
                $_page,
                0,
                mb_strpos($_page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }
            echo "you can't see it";
            return false;

最后构造的payload是/?file=source.php?../../../../../ffffllllaaaagggg，或者source换成hint

以上分析了一通 其实我还是有点懵。。。