目录
一、服务端会对传入的参数自动进行一次urldecode,并且对于不能url解码的字符串再次进行url解码,字符串不会变化
题目:
打开环境发现只有一个滑稽,日常查看源代码,发现有个source.php
访问url/source.php 得到源码
<?php
highlight_file(__FILE__);
class emmm
{
public static function checkFile(&$page)
{
$whitelist = ["source"=>"source.php","hint"=>"hint.php"];
if (! isset($page) || !is_string($page)) {
echo "you can't see it";
return false;
}
if (in_array($page, $whitelist)) {
return true;
}
$_page = mb_substr(
$page,
0,
mb_strpos($page . '?', '?')
);
if (in_array($_page, $whitelist)) {
return true;
}
$_page = urldecode($page);
$_page = mb_substr(
$_page,
0,
mb_strpos($_page . '?', '?')
);
if (in_array($_page, $whitelist)) {
return true;
}
echo "you can't see it";
return false;
}
}
if (! empty($_REQUEST['file'])
&& is_string($_REQUEST['file'])
&& emmm::checkFile($_REQUEST['file'])
) {
include $_REQUEST['file'];
exit;
} else {
echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
}
?>
知识点:
$_REQUEST:默认情况下包含了 $_GET,$_POST 和 $_COOKIE 的数组。用于收集 HTML 表单提交的数据。$_REQUEST 中的变量通过 GET,POST 和 COOKIE 输入机制传递给脚本文件
empty():判断一个变量是否被认为是空的。当一个变量并不存在,或者它的值等同于false
,那么它会被认为不存在。如果变量不存在的话,empty()并不会产生警告。
当var
存在,并且是一个非空非零的值时返回 false
否则返回 true
.
以下的东西被认为是空的:
""
(空字符串)0
(作为整数的0)0.0
(作为浮点数的0)"0"
(作为字符串的0)null
false
array()
(一个空数组)$var;
(一个声明了,但是没有值的变量)
is_string():检测变量是否是字符串,如果 var
是 string 则返回 true
,否则返回 false
。
isset — 检测变量是否已设置并且非 null、
如果 var
存在并且值不是 null
则返回 true
,否则返回 false
。
in_array(),检查数组中是否存在某个值,若存在则返回ture。因为没有设置第三个参数为true,所以是弱比较。
mb_substr — 获取部分字符串
mb_strpos — 查找字符串在另一个字符串中首次出现的位置
分析:
代码审计
if (! empty($_REQUEST['file'])
&& is_string($_REQUEST['file'])
&& emmm::checkFile($_REQUEST['file'])
) {
include $_REQUEST['file'];
exit;
} else {
echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
}
只有让这三个都是true才能进入include,从而文件包含出flag文件。前两个只要file不为空且是字符串类型即可为true。重点是第三个判断。
代码审计chechFile方法
$whitelist = ["source"=>"source.php","hint"=>"hint.php"];
首先是定义了一个白名单,键:"source"值"source.php"和键:"hint"值:"hint.php"
if (! isset($page) || !is_string($page)) {
echo "you can't see it";
return false;
}
第一个if,判断传入的参数page也就是变量file是否设置或者是否是字符串、如果没有设置或者不是字符串则进入此if语句。输出"you can't see it"并返回flase
if (in_array($page, $whitelist)) {
return true;
}
第二个if,如果file的值在白名单里面会进入第二个if语句,返回true,然后包含出这个文件。
我们输入hint.php得到提示。
$_page = mb_substr(
$page,
0,
mb_strpos($page . '?', '?')
);
定义了一个变量$_page,值为$page被从开头到( mb_strpos($page . '?', '?') )位置的字符串。
mb_strpos($page . '?', '?')表示返回?第一次在$page."?"出现的位置。所以就会返回?之前的字符串的长度。所以最后$_page的值就是page中第一个?之前的内容。
if (in_array($_page, $whitelist)) {
return true;
}
然后在判断一个$_page是否在白名单内。
$_page = urldecode($page);
$_page = mb_substr(
$_page,
0,
mb_strpos($_page . '?', '?')
);
接着将page进行url解码后的结果赋值给$_page,然后继续截取$_page。把截取后的值重新赋值给$_page。
if (in_array($_page, $whitelist)) {
return true;
}
然后继续判断此时的$_page是否在白名单中,在就返回true
echo "you can't see it";
return false;
最后如果都没进入if语句就会输出 "you can't see it" 然后返回flase。
经过审计,我们的payload需要使得checkFile返回true,并且能包含出 ffffllllaaaagggg 这个文件。
checkFile里面第二个if是直接对page(file)进行判断,此时file只能为source.php或者hint.php
没法利用,
第三个if之前要进行截取,所以我们可以构造一个带?的payload,使?之前有source.php或者hint.php然后在通过相对路径来访问到flag文件
payload:file=hint.php?/../../../../../ffffllllaaaagggg
第四个if之前进行了urldecode然后进行了跟第三个if语句之前一样的操作
因为服务端会自动对传入的参数进行一次urldecode,所以我们可以构造
payload:hint.php%253F/../../../../../ffffllllaaaagggg
又因为对于不能url解码的字符串进行url,字符串没有变化所以我们可以构造
payload:file=hint.php%3F%2F..%2F..%2F..%2F..%2F..%2Fffffllllaaaagggg
此payload解码后为hint.php?/../../../../../ffffllllaaaagggg
再次解码后还是hint.php?/../../../../../ffffllllaaaagggg
或者
file=hint.php%3F/../../../../../ffffllllaaaagggg
只对问号进行一次urlencode
遇到的问题:
一、服务端会对传入的参数自动进行一次urldecode,并且对于不能url解码的字符串再次进行url解码,字符串不会变化
本地测试:
<?php
$a = $_POST['a'];
echo $a."</br>";
$b=urldecode($a);
echo $b."</br>";
$c=urldecode($b);
echo $c;
二、include相对路径问题
php中include('../../flag.php')和include('../../../../flag.php')都能访问到flag.php
说明flag.php在 /var/html类似目录中,只有两层,var为最上层了。
如果已经处于var目录下,再使用../也只会处于var目录下
所以:/var/www/flag.php 和../../../var/www/flag.php是一个文件,上层没有了
php 默认相对路径都是以被访问页面所在路径为准的。无论一个入口页面,里面包含多少文件,相对路径,都是以这个页面为准
根据include函数的功能,以字符‘/’分隔(而且不计个数),若是在前面的字符串所代表的文件无法被PHP找到,则PHP会自动包含‘/’后面的文件--注意是最后一个/。可以发现若输入source.php?/../../../../ffffllllaaaagggg时,source.php?这个文件是找不到的,那么就会将第一个../前的代码忽略,那么就会包含../../../../ffffllllaaaagggg
(本地测试没有成功,可能是配置的问题,还未解决)
这里最后一个/的解释为:
例子:
flag.php?/xx/../../../1.txt,包含时,因为flag.php?/xx这个文件找不到那就会包含../../../1.txt,但此时的目录已经是原来的目录的子目录了。
flag.php?/xx/xx/../../../1.txt,包含时,因为flag.php?/xx/xx这个文件找不到那就会包含../../../1.txt,但此时的目录已经是原来的目录的子目录的子目录了。以此类推
访问下级目录文件
cd /yangyuntao和cd yangyuntao的区别在于
cd /yangyuntao是进入根目录下的yangyuntao这个目录
cd yangyuntao是进入当前目录下的yangyuntao目录
例如:当前根目录下并没有yangyuntao这个目录
Users目录下有yangyuntao这个目录
区别: