BUUCTF------[HCTF 2018]WarmUp

郑居中3.02024-03-08 16:51

开局一个表情,源代码发现source.php

复制代码 
<?php
    highlight_file(__FILE__);
    class emmm
    {
        public static function checkFile(&$page)
        {
            $whitelist = ["source"=>"source.php","hint"=>"hint.php"];
            if (! isset($page) || !is_string($page)) {
                echo "you can't see it";
                return false;
            }

            if (in_array($page, $whitelist)) {
                return true;
            }

            $_page = mb_substr(
                $page,
                0,
                mb_strpos($page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }

            $_page = urldecode($page);
            $_page = mb_substr(
                $_page,
                0,
                mb_strpos($_page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }
            echo "you can't see it";
            return false;
        }
    }

    if (! empty($_REQUEST['file'])
        && is_string($_REQUEST['file'])
        && emmm::checkFile($_REQUEST['file'])
    ) {
        include $_REQUEST['file'];
        exit;
    } else {
        echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
    }  
?>

知识点

1.函数

复制代码 
empty:检查变量是否为空,存在值返回true,反之false

isset:检查变量是否设置,且不为空,存在值返回true,反之false

is_string:检查一个变量是否是字符串。如果是字符串,则返回 true;否则返回 false。

in_array:检查一个值是否存在于数组中。如果值存在于数组中,则返回 true;否则返回 false

mb_strpos:在字符串中查找另一个字符串的首次出现位置

mb_substr:返回字符串截取的一部分
$subStr = mb_substr($str, 0, 3, 'UTF-8'); // 从索引 0 开始,截取长度为 3 的子串

分析源码

php 复制代码 
if (! empty($_REQUEST['file'])
        && is_string($_REQUEST['file'])
        && emmm::checkFile($_REQUEST['file'])
    ) {
        include $_REQUEST['file'];
        exit;
    } else {
        echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
    }

这段代码表示:变量file要满足三个条件,三个都返回True,才能进行文件包含include,第一个和第二个容易满足;第三个分析chekFile方法。

代码1.

php 复制代码 
 $whitelist = ["source"=>"source.php","hint"=>"hint.php"];
            if (! isset($page) || !is_string($page)) {
                echo "you can't see it";
                return false;

创建whitelist列表,给source和hint分别赋值给source.php和hint.php,满足变量page既不能为空,又必须是字符串

代码2.

php 复制代码 
            if (in_array($page, $whitelist)) {
                return true;
            }

判断变量page的值是否在whitelist列表中,如果在则返回true,反之false。

代码3.

php 复制代码 
                $_page = mb_substr(
                $page,
                0,
                mb_strpos($page . '?', '?')
            );

这段代码表示:在$page中,从最开始的位置去匹配?,然后返回?前的所有字符串(不包括?)

代码4.

php 复制代码 
            $_page = urldecode($page);
            $_page = mb_substr(
                $_page,
                0,
                mb_strpos($_page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }
            echo "you can't see it";
            return false;
        }

将$page进行url解码,然后进行?截取,判断是否在列表中

payload

通过上面的代码分析,payload中必须有hint.php或source.php,(参考上面的代码1和代码2)和,因为有?,才能进行if判断。

它还要进行url解码,但是传进的值,经过url解码后,还是它本身。

复制代码 
?file=hint.php?../../../../../../../../ffffllllaaaagggg
相关推荐
Bruce1234 小时前
web专题之php代审(二)
php
BingoGo5 小时前
PHP-FPM 深度调优指南 告别 502 错误,让你的 PHP 应用飞起来
后端·php
亿坊电商15 小时前
物联网领域中PHP框架的最佳选择有哪些?
物联网·struts·php
wuzuyu36515 小时前
用php做一个简易的路由
php·路由
老六ip加速器1 天前
手机ip隔离方法
tcp/ip·智能手机·php
rockmelodies1 天前
【PHP7内核剖析】-1.3 FPM
php
真正的醒悟1 天前
上网管理行为-ISP路由部署
服务器·php·接口隔离原则
张晓~183399481212 天前
短视频矩阵源码-视频剪辑+AI智能体开发接入技术分享
c语言·c++·人工智能·矩阵·c#·php·音视频
2zcode2 天前
基于Matlab可见光通信系统中OOK调制的误码率性能建模与分析
算法·matlab·php
rockmelodies2 天前
【PHP7内核剖析】-1.1 PHP概述
开发语言·php
热门推荐
01GitHub 镜像站点02UV 工具安装与国内镜像源配置指南03UV安装并设置国内源0446个Nano-banana 精选提示词,持续更新中05A股预测还能更准?开源大模型Kronos带你跑通预测+回测全流程06Claude Code 平替:OpenAI发布 Codex CLI ,GPT-5 国内直接使用07conda中设置镜像地址(附所有可换的地址)08KGG转MP3工具|非KGM文件|解密音频09解决 WSL Ubuntu 中 /etc/resolv.conf 自动重置问题10保姆级教程:手把手教你用Dify实现完美多轮对话(附Chatflow和提示词)