buu[HCTF 2018]WarmUp（代码审计）

buu[HCTF 2018]WarmUp（代码审计）

题目

访问source.php

 <?php
    highlight_file(__FILE__);
    class emmm
    {
        public static function checkFile(&$page)
        {
            $whitelist = ["source"=>"source.php","hint"=>"hint.php"];
            if (! isset($page) || !is_string($page)) {
                echo "you can't see it";
                return false;
            }

            if (in_array($page, $whitelist)) {
                return true;
            }

            $_page = mb_substr(
                $page,
                0,
                mb_strpos($page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }

            $_page = urldecode($page);
            $_page = mb_substr(
                $_page,
                0,
                mb_strpos($_page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }
            echo "you can't see it";
            return false;
        }
    }

    if (! empty($_REQUEST['file'])
        && is_string($_REQUEST['file'])
        && emmm::checkFile($_REQUEST['file'])
    ) {
        include $_REQUEST['file'];
        exit;
    } else {
        echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
    }  
?> 

分析

可以看到checkfile里面有4个if，第一个if不能进去进去就false；

后面三个if要进去一个，不然执行结束返回false;

下面的文件包含前的判断条件要三个都为真才能包含

然后通过白名单可以知道有两个文件，我们访问一下hint.php

得到一个flag所在的文件

让我们分析一下代码：

     if (! isset($page) || !is_string($page)) {
                echo "you can't see it";
                return false;
            }
     //这个if不进去很简单

if (in_array($page, $whitelist)) {
                return true;
            }
//这个if进不去，我们传的$page肯定不符合白名单

 $_page = mb_substr(
                $page,
                0,
                mb_strpos($page . '?', '?')
            );
 //这段代码的意思就是 将第一个？之前的内容截取出来，注意不包括这个问号
 //而且可以发现的是这里不再是原封不动的$page拿来比较

if (in_array($_page, $whitelist)) {
                return true;
            }
//拿$_page去比较是否匹配白名单，注意这里是截取过.
//可以向办法进入这个if

$_page = urldecode($page);
            $_page = mb_substr(
                $_page,
                0,
                mb_strpos($_page . '?', '?')
            );
 //先将$page解码再截取
 if (in_array($_page, $whitelist)) {
                return true;
            }
 //同样这里可以想办法进入这个if

 echo "you can't see it";
            return false;
 //之前没有进入任何if去返回值就失败了

在这个URL中，http://url/source.php?file=hint.php?../../../../../ffffllllaaaagggg，包含了两个参数：file 和 ../../../../../ffffllllaaaagggg。

通常，URL中的参数是用?来分隔的，而参数之间则用&符号来分隔。在这个URL中，file是参数名，hint.php?../../../../../ffffllllaaaagggg是参数值。

现在让我们来解释一下这个参数值 hint.php?../../../../../ffffllllaaaagggg 的含义：

1. hint.php：这部分是文件名，表明了要访问的文件是hint.php。
2. ?：在URL中，?符号通常用来分隔参数名和参数值。在这个特定的情况下，?可能被用来分隔文件名和查询字符串，以向hint.php传递额外的参数。
3. ../../../../../ffffllllaaaagggg：这部分是查询字符串，它以?开头。在UNIX和类似系统中，../用来表示上级目录，因此这个查询字符串看起来是在尝试向hint.php传递参数ffffllllaaaagggg，同时在路径中向上跳了多个目录。

总结一下，这个URL中的hint.php?../../../../../ffffllllaaaagggg可能是尝试访问hint.php文件，并向它传递了一个查询字符串参数，同时尝试在文件路径中向上跳转多层目录。

需要注意的是，?符号在URL中通常用来分隔参数名和参数值。在这个特定的情况下，?后面的内容被认为是查询字符串，它可能被hint.php用来解析和处理。然而，具体的含义和行为取决于服务器端对URL的处理方式。

此题？应该是用来绕过白名单所加

网上有两种解释，结合起来看更容易理解

1、tips:include函数有这么一个神奇的功能：以字符‘/’分隔（而且不计个数），若是在前面的字符串所代表的文件无法被PHP找到，则PHP会自动包含‘/’后面的文件——注意是最后一个‘/’。

2、如果我们的file变量为source.php?../…/…/…/…/ffffllllaaaagggg,先截取 ？ 号前字符串白名单验证也就是 source.php，符合，返回ture，然后服务器访问时访问 source.php? 文件不存在，目录穿越至ffffllllaaaagggg，得到我们要的flag。至于为什么需要四个…/，可以一个个增加多次尝试。（source或hint都可）

方法一

一次编码，进入第三个if

方法二

使用urldecode会出现一个问题，假如我将一个字符使用url编码了两遍然后传入的时候，首先浏览器解码了一遍，接下来才是urlencode解码，所以使用两次urlencode，绕过前面的if，进入第四个if