CTF-BUUCTF-[HCTF 2018]WarmUp
<?php
highlight_file(__FILE__);
class emmm
{
public static function checkFile(&$page)
{
$whitelist = ["source"=>"source.php","hint"=>"hint.php"];
if (! isset($page) || !is_string($page)) {
echo "you can't see it";
return false;
}
if (in_array($page, $whitelist)) {
return true;
}
$_page = mb_substr(
$page,
0,
mb_strpos($page . '?', '?')
);
if (in_array($_page, $whitelist)) {
return true;
}
$_page = urldecode($page);
$_page = mb_substr(
$_page,
0,
mb_strpos($_page . '?', '?')
);
if (in_array($_page, $whitelist)) {
return true;
}
echo "you can't see it";
return false;
}
}
if (! empty($_REQUEST['file'])
&& is_string($_REQUEST['file'])
&& emmm::checkFile($_REQUEST['file'])
) {
include $_REQUEST['file'];
exit;
} else {
echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
}
?>
1、看网页注释,发现有source.php,构造?file=source.php
得到网页源代码,发现里面有hint.php,再次构造?file=hint.php
,得到
可以知道 flag 在 ffffllllaaaagggg
2、分析源代码
- 审计下半部分代码
if (! empty($_REQUEST['file']) //检测$_REQUEST['file']值非空
&& is_string($_REQUEST['file'])//$_REQUEST['file']值为字符串
&& emmm::checkFile($_REQUEST['file'])//能够通过checkFile函数校验
) {
include $_REQUEST['file'];//包含$_REQUEST['file']文件
exit;
} else {
echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";//否则就返回滑稽.jpg
}
&& 逻辑 与 运算符
可以知道要求传入的 file变量的值需要满足:非空,字符串,能通过 checkFile()函数
上面的checkFile函数有四个检测 :
- 返回看上半部分代码
{
public static function checkFile(&$page)//传入了变量page,也就是我们刚刚传进来的file
{
//此时为三次白名单验证
$whitelist = ["source"=>"source.php","hint"=>"hint.php"];//声明$whitelist(白名单)数组
//此时判断存在变量page且其为字符串
if (! isset($page) || !is_string($page)) { //此时若变量page满足存在或者满足是字符串,就返回false,故为了返回 true 两个条件必须满足
echo "you can't see it";
return false;
}
//第一次白名单 判断$page是否在$whitelist数组中
if (in_array($page, $whitelist)) { //检测传进来的值$page是否匹配白名单列表$whitelist, 如果有则返回true
return true;
}
$_page = mb_substr( //该代码表示截取$page中'?'前的部分,若无则截取整个$page
$page,
0,
mb_strpos($page . '?', '?')
);
//第二次白名单 在截取的$page中'?'前一部分判断是否在$whitelist数组中
if (in_array($_page, $whitelist)) {
return true;
}
//url对$page解码
$_page = urldecode($page);
$_page = mb_substr(
$_page,
0,
mb_strpos($_page . '?', '?')
);
//第三次白名单 判断url解码并截取后的$page是否存在于$whitelist中
if (in_array($_page, $whitelist)) {
return true;
}
echo "you can't see it";
return false;
}
}
|| 逻辑 或 运算符
思路:
可以看到函数代码中有四个if语句
第一个if语句对变量进行检验,要求$page为字符串,否则返回false
第二个if语句判断$page是否存在于$whitelist数组中,存在则返回true
第三个if语句判断截取后的$page是否存在于$whitelist数组中,截取$page中'?'前部分,存在则返回true
第四个if语句判断url解码并截取后的$page是否存在于$whitelist中,存在则返回true
若以上四个if语句均未返回值,则返回false
有三个if语句可以返回true:
第二个语句:直接判断$page,不可用
第三个语句:截取'?'以前的部分,由于?的后部分被解析为get方式提交的参数,也不可利用
第四个if语句:先进行url解码再截取,因此我们可以将?经过两次url编码,在服务器端提取参数时解码一次,checkFile函数中解码一次,仍会解码为'?',仍可通过第四个if语句校验。('?'两次编码值为'%253f')
构造url:
file=source.php?file=source.php%253f../../../../../ffffllllaaaagggg