buu[HCTF 2018]WarmUp(代码审计)

buu[HCTF 2018]WarmUp(代码审计)

题目

访问source.php

 <?php
    highlight_file(__FILE__);
    class emmm
    {
        public static function checkFile(&$page)
        {
            $whitelist = ["source"=>"source.php","hint"=>"hint.php"];
            if (! isset($page) || !is_string($page)) {
                echo "you can't see it";
                return false;
            }

            if (in_array($page, $whitelist)) {
                return true;
            }

            $_page = mb_substr(
                $page,
                0,
                mb_strpos($page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }

            $_page = urldecode($page);
            $_page = mb_substr(
                $_page,
                0,
                mb_strpos($_page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }
            echo "you can't see it";
            return false;
        }
    }

    if (! empty($_REQUEST['file'])
        && is_string($_REQUEST['file'])
        && emmm::checkFile($_REQUEST['file'])
    ) {
        include $_REQUEST['file'];
        exit;
    } else {
        echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
    }  
?> 
分析

可以看到checkfile里面有4个if,第一个if不能进去进去就false;

后面三个if要进去一个,不然执行结束返回false;

下面的文件包含前的判断条件要三个都为真才能包含

然后通过白名单可以知道有两个文件,我们访问一下hint.php

得到一个flag所在的文件

让我们分析一下代码:

     if (! isset($page) || !is_string($page)) {
                echo "you can't see it";
                return false;
            }
     //这个if不进去很简单

if (in_array($page, $whitelist)) {
                return true;
            }
//这个if进不去,我们传的$page肯定不符合白名单

 $_page = mb_substr(
                $page,
                0,
                mb_strpos($page . '?', '?')
            );
 //这段代码的意思就是 将第一个?之前的内容截取出来,注意不包括这个问号
 //而且可以发现的是这里不再是原封不动的$page拿来比较

if (in_array($_page, $whitelist)) {
                return true;
            }
//拿$_page去比较是否匹配白名单,注意这里是截取过.
//可以向办法进入这个if

$_page = urldecode($page);
            $_page = mb_substr(
                $_page,
                0,
                mb_strpos($_page . '?', '?')
            );
 //先将$page解码再截取
 if (in_array($_page, $whitelist)) {
                return true;
            }
 //同样这里可以想办法进入这个if

 echo "you can't see it";
            return false;
 //之前没有进入任何if去返回值就失败了

在这个URL中,http://url/source.php?file=hint.php?../../../../../ffffllllaaaagggg,包含了两个参数:file../../../../../ffffllllaaaagggg

通常,URL中的参数是用?来分隔的,而参数之间则用&符号来分隔。在这个URL中,file是参数名,hint.php?../../../../../ffffllllaaaagggg是参数值。

现在让我们来解释一下这个参数值 hint.php?../../../../../ffffllllaaaagggg 的含义:

  1. hint.php:这部分是文件名,表明了要访问的文件是hint.php
  2. ?:在URL中,?符号通常用来分隔参数名和参数值。在这个特定的情况下,?可能被用来分隔文件名和查询字符串,以向hint.php传递额外的参数。
  3. ../../../../../ffffllllaaaagggg:这部分是查询字符串,它以?开头。在UNIX和类似系统中,../用来表示上级目录,因此这个查询字符串看起来是在尝试向hint.php传递参数ffffllllaaaagggg,同时在路径中向上跳了多个目录。

总结一下,这个URL中的hint.php?../../../../../ffffllllaaaagggg可能是尝试访问hint.php文件,并向它传递了一个查询字符串参数,同时尝试在文件路径中向上跳转多层目录。

需要注意的是,?符号在URL中通常用来分隔参数名和参数值。在这个特定的情况下,?后面的内容被认为是查询字符串,它可能被hint.php用来解析和处理。然而,具体的含义和行为取决于服务器端对URL的处理方式。

此题?应该是用来绕过白名单所加

网上有两种解释,结合起来看更容易理解

1、tips:include函数有这么一个神奇的功能:以字符'/'分隔(而且不计个数),若是在前面的字符串所代表的文件无法被PHP找到,则PHP会自动包含'/'后面的文件------注意是最后一个'/'。

2、如果我们的file变量为source.php?../.../.../.../.../ffffllllaaaagggg,先截取 ? 号前字符串白名单验证也就是 source.php,符合,返回ture,然后服务器访问时访问 source.php? 文件不存在,目录穿越至ffffllllaaaagggg,得到我们要的flag。至于为什么需要四个.../,可以一个个增加多次尝试。(source或hint都可)

方法一

一次编码,进入第三个if

方法二

使用urldecode会出现一个问题,假如我将一个字符使用url编码了两遍然后传入的时候,首先浏览器解码了一遍,接下来才是urlencode解码,所以使用两次urlencode,绕过前面的if,进入第四个if

相关推荐
网络安全(king)1 小时前
信息安全管理:网络设计安全评估checklist
网络·安全·web安全
鱼大大博客2 小时前
Edge SCDN酷盾安全重塑高效安全内容分发新生态
前端·安全·edge
鸭梨山大。2 小时前
NPM组件包 vant部分版本内嵌挖矿代码
前端·安全·npm·node.js·vue
liuxin334455667 小时前
学籍管理系统:实现教育管理现代化
java·开发语言·前端·数据库·安全
weixin_4426434210 小时前
FileLink为企业打造了一站式的跨网安全文件共享解决方案
安全·filelink内外网文件交换
一只栖枝10 小时前
Security知识点分享之高级安全安装虚拟机
安全·安全架构
cnsinda_sdc11 小时前
信创数据防泄漏中信创沙箱是什么样的安全方案
运维·网络·安全·源代码管理·源代码防泄密·源代码加密
黑客Ela11 小时前
【网络安全设备系列】7、流量监控设备
安全·web安全
hao_wujing13 小时前
网络安全等级自我评价
安全·web安全
ly21st13 小时前
elasticsearch安全认证
安全·elasticsearch