[极客大挑战 2019]EasySQL 1
该题目需要同时输入用户名和密码,在用户名处输入万能密码‘or 1=1 # ,密码处输入任意字符即可得到flag
[HCTF 2018]WarmUp 1
php 代码审计问题
首先看页面源码
注意到在body中注释掉了 source.php ,所以我们直接访问source.php
得到源码:
<?php
highlight_file(__FILE__);
class emmm
{
public static function checkFile(&$page)
{
$whitelist = ["source"=>"source.php","hint"=>"hint.php"];
if (! isset($page) || !is_string($page)) {
echo "you can't see it";
return false;
}
if (in_array($page, $whitelist)) {
return true;
}
$_page = mb_substr(
$page,
0,
mb_strpos($page . '?', '?')
);
if (in_array($_page, $whitelist)) {
return true;
}
$_page = urldecode($page);
$_page = mb_substr(
$_page,
0,
mb_strpos($_page . '?', '?')
);
if (in_array($_page, $whitelist)) {
return true;
}
echo "you can't see it";
return false;
}
}
if (! empty($_REQUEST['file'])
&& is_string($_REQUEST['file'])
&& emmm::checkFile($_REQUEST['file'])
) {
include $_REQUEST['file'];
exit;
} else {
echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
}
?>
对该php源码进行代码分析
首先该代码构建了一个emmm类用于check,在该类中构建了一个checkFile的函数
先看函数的第一个部分:
$whitelist = ["source"=>"source.php","hint"=>"hint.php"];
if (! isset($page) || !is_string($page)) {
echo "you can't see it";
return false;
}
if (in_array($page, $whitelist)) {
return true;
}
首先定义了whitelist的一个数组,包含source.php&hint.php
然后是判断,isset函数判断变量是否被声明,is_string函数判断变量是否是字符串
只有在白名单里的才能通过
第二个部分:
$_page = mb_substr(
$page,
0,
mb_strpos($page . '?', '?')
);
if (in_array($_page, $whitelist)) {
return true;
}
mb_substr(a,m,n)函数是对a进行截取,从m截取到n,mb_strpos(abc,b)函数是返回b在abc中的位置,从0开始。其中mb_strpos($page . '?', '?')中的.‘?’是将'?'添加在page变量后面。
截取后的变量如果还在白名单中则可通过
第三个部分:
$_page = urldecode($page);
$_page = mb_substr(
$_page,
0,
mb_strpos($_page . '?', '?')
);
if (in_array($_page, $whitelist)) {
return true;
}
echo "you can't see it";
return false;
与第二个部分基本相同,多了一个url解码,将变量进行了url解码
checkFile函数看完后我们再来看最后的执行:
if (! empty($_REQUEST['file'])
&& is_string($_REQUEST['file'])
&& emmm::checkFile($_REQUEST['file'])
) {
include $_REQUEST['file'];
exit;
} else {
echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
}
?>
要满足变量file不为空,为字符串,且满足checkfile函数即可通过,否则返回图片
那么现在开始构造payload:source.php?file=hint.php
这里我们可以看到提示:flag not here, and flag in ffffllllaaaagggg
说明flag不在hint.php中,而在ffffllllaaaagggg中
继续构造source.php?file=hint.php?/ffffllllaaaagggg
没有任何返回,说明ffffllllaaaagggg文件不在当前文件下
则我们向上查找,直到file=hint.php?../../../../../../../../ffffllllaaaagggg我们找到flag:
flag{9f99b87d-387f-46fd-9f67-6102a95f5baa}