BUUCTF web WarmUp
在做这个题目的时候,首先打开链接,看到的是
右击鼠标查看源码,可以发现有个隐藏的source.php文件
然后就在地址栏访问这个source.php文件,可以看到这个题目的后端源码:
这个一看就是需要代码审计,其实就是看懂代码在说个什么东西,然后我首先很懵,但是经过慢慢的抠函数,弄着弄着就懂了。其实这个后端:
1.我觉得首先应该弄清楚这个Php文件的结构的吧,例如:这个后端是由一个class emm()和一个if条件组成的,所以结构就很清晰。看到if语句里面调用了emm:checkFile()这个函数,所以可以直接从if语句开始看。
2.if里面的条件是,file不能为空,file的值是个字符串,file作为参数调用chenkFile()函数。
3.看checkFile函数,发现这个里面有三个if语句里面包含了return ture语句,我们要做的就是构造file使它能运行return true这个语句,而不是return false。所以看到第一个返回正确的语句,
意思就是page参数的值在whitelist数组里面,所以我们就可以直接构造payload为http://7b6a5d3f-2b88-4433-8959-002813385442.node3.buuoj.cn/source.php/?file=hint.php
,就可以看到:
在末尾说flag不在这个路径下,flag在ffffllllaaaagggg下,所以接下来我们要转到ffffllllaaaagggg路径下。
4.由于第一个返回语句不能得到flag,所以我们尝试从第二个return true,他的条件和第一个一样,但是代码顺序执行,在第一个return true语句和第二个return true语句之间有一个函数:
$_page = mb_substr(
$page,
0,
mb_strpos($page . '?', '?')
);
这个函数的作用是截取page参数开始到?之前的字符,加上第3步我们做的结果,现在加上转到路径ffffllllaaaagggg下,我们可以构造payload为:
http://7b6a5d3f-2b88-4433-8959-002813385442.node3.buuoj.cn/source.php/?file=hint.php?../../../../../../ffffllllaaaagggg
就可以得到flag为:
题目做到这里既可以提交结束了。但是由于做题训练,我们看一下第三种renturn true的情况。
$_page = urldecode($page);
$_page = mb_substr(
$_page,
0,
mb_strpos($_page . '?', '?')
);
在第二个返回语句和第三个返回语句之间执行了这几句代码,其实就是进行了一个url解码,之后再进行截取。所以如果是从第三个renturn true返回的结果,可以构造payload为:
http://7b6a5d3f-2b88-4433-8959-002813385442.node3.buuoj.cn/source.php?file=hint.php%3f../../../../../../../../ffffllllaaaagggg
同样也可以得到结果。然后这里说一下,我看了别人写的解题过程,发现有些人进行了二次编码,然后解释是这个题目的后端代码进行了一个url解码,游览器本身也会进行一个url解码,所以就是两次。payload也可以构造为:
http://7b6a5d3f-2b88-4433-8959-002813385442.node3.buuoj.cn/source.php?file=hint.php%253f../../../../../../../../ffffllllaaaagggg
讲一下两个疑惑:
1.为什么不直接在在第一个return true那里转到ffffllllaaaagggg目录,因为如果要转的话,你需要构造payload为:
http://7b6a5d3f-2b88-4433-8959-002813385442.node3.buuoj.cn/source.php?file=hint.php/ffffllllaaaagggg
但是这样的话根据后端,这时page参数的值为hint.php/ffffllllaaaagggg,是整个file的值,不单单是hint.php,所以哪一个return ture语句都不会执行。需要利用后面的?进行截取。
2.为什么需要那么多个…/,我试了一下,如果直接构造payload为:
http://7b6a5d3f-2b88-4433-8959-002813385442.node3.buuoj.cn/source.php?file=hint.php?/ffffllllaaaagggg
结果是
没有任何的反应,但是你慢慢的加上…/之后,等加到了四个…/,就可以返回flag了,为什么是四个,因为ffffllllaaaagggg每一个都是flag的4次重复,可以有点这样的脑洞在吧,如果不确定的话,就多加几个…/就好了。