BUUCTF[HCTF 2018]WarmUp 1题解
分析
启动靶机,进入网址,是一张滑稽的表情包:
程序化F12查看源码:
发现注释内容,访问
url:/source.php得到下面的源码:
php
<?php
highlight_file(__FILE__);
class emmm
{
public static function checkFile(&$page)
{
$whitelist = ["source"=>"source.php","hint"=>"hint.php"];
if (! isset($page) || !is_string($page)) {
echo "you can't see it";
return false;
}
if (in_array($page, $whitelist)) {
return true;
}
$_page = mb_substr(
$page,
0,
mb_strpos($page . '?', '?')
);
if (in_array($_page, $whitelist)) {
return true;
}
$_page = urldecode($page);
$_page = mb_substr(
$_page,
0,
mb_strpos($_page . '?', '?')
);
if (in_array($_page, $whitelist)) {
return true;
}
echo "you can't see it";
return false;
}
}
if (! empty($_REQUEST['file'])
&& is_string($_REQUEST['file'])
&& emmm::checkFile($_REQUEST['file'])
) {
include $_REQUEST['file'];
exit;
} else {
echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
}
?>OK,这时候我们可以知道这是一道PHP代码审计题,接下来就是公式化构造payload时间啦!
解题过程
代码审计
主体函数
我们来到了代码审计阶段,先从主体开始:
php
if (! empty($_REQUEST['file'])
&& is_string($_REQUEST['file'])
&& emmm::checkFile($_REQUEST['file'])
) {
include $_REQUEST['file'];
exit;
} else {
echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
} 首先:
$_REQUEST 是一个关联数组,包含 $_GET、 $_POST 和 $_COOKIE 的内容
$_REQUEST['file'] 表示从用户请求中获取名为 "file" 的参数值
用途:获取表单数据、URL 参数、Cookie 值等用户输入
if判断了以下几个条件:
- file的值是否不为空
- file的值是否为字符串
- emmm::checkFile(file)的回显是否为1
当上面的所有答案都为是,执行:
include $_REQUEST['file'];
反之,输出滑稽表情包。
接下来我们的任务就是解析emmm::checkFile()函数,以绕过waf条件,访问文件。
CHECK函数:
php
class emmm
{
public static function checkFile(&$page)
{
$whitelist = ["source"=>"source.php","hint"=>"hint.php"];
if (! isset($page) || !is_string($page)) {
echo "you can't see it";
return false;
}
if (in_array($page, $whitelist)) {
return true;
}
$_page = mb_substr(
$page,
0,
mb_strpos($page . '?', '?')
);
if (in_array($_page, $whitelist)) {
return true;
}
$_page = urldecode($page);
$_page = mb_substr(
$_page,
0,
mb_strpos($_page . '?', '?')
);
if (in_array($_page, $whitelist)) {
return true;
}
echo "you can't see it";
return false;
}
}一步一步分析:
php
$whitelist = ["source"=>"source.php","hint"=>"hint.php"];这是一个关联数组,关联数组的主要特点是键值对数组。
键(key):"source" 和 "hint" - 这些是白名单标识符;
值(value):"source.php" 和 "hint.php" - 实际允许访问的文件名;
这里我们发现了另一个文件hint.php ,是一个提示,访问网址显示:
hint.php提示了flag的文件名。
我们接着分析代码:
php
if (! isset($page) || !is_string($page)) {
echo "you can't see it";
return false;
}上面这段代码这段代码判断参数是否为NULL,是否为字符串。
php
if (in_array($page, $whitelist)) {
return true;
}上面这段代码判断参数是否在白名单中(即判断参数的值和数组的值是否相同)。
php
$_page = mb_substr(
$page,
0,
mb_strpos($page . '?', '?')
);
if (in_array($_page, $whitelist)) {
return true;
}mb_strpos($page . '?', '?'):
若$page包含 ?:返回第一个?的位置;
若$page不含?:返回字符串长度。
mb_substr($page, 0, mb_strpos($page . '?', '?')):
$page:原始输入;
0:起始位置;
mb_strpos($page . '?', '?'):从 mb_strpos() 获取的长度。
这个函数截取了参数从最开始直到第一个?之间的子串,?之后的子串被丢弃。
请注意这段代码,我们考虑是否能够利用函数的特性,在?之后构造一段代码
之后的代码是:解码url,再次判断参数是否在白名单中。
构造payload
php
/?file=hint.php?/../../../../ffffllllaaaagggg
或
/?file=source.php?/../../../../ffffllllaaaagggg构造思想主要是在?后加入/,../表示上一级目录,然后一级一级的搜索
所以实际上,payload是一层一层实验出来的。
比如最开始是:
php
/?file=hint.php?/../ffffllllaaaagggg发现网页为空,说明该目录中没有目标文件,那么就再尝试上一级目录。
顺便提一下:在原有的payload基础上在加几层都不会影响文件显示,说明这个文件在网站的根目录下
最后的flag是:flag{966bef86-ebda-43d8-8703-8e6a57b211de}
总结
本题考察的是PHP代码阅读能力和常见的目录遍历能力。
本题涉及到的PHP函数整理如下:
mb_strpos($page . '?', '?'): 返回第一次出现?的数组下标
mb_substr($page, 0, mb_strpos($page . '?', '?')):截取第一个字符到?出现之前的字符(不包括?)
这道题的提示还是比较明显的,难度不是很大,但是对于最后?/../../的构造原理是否有普适性,笔者不解,总的来说也是一道适合入门的题目。