文章讲述了在靶场环境中,通过阅读source.php的代码逻辑,尤其是利用if语句检查url参数的方式,巧妙地绕过限制,最终找到flag的过程。关键在于理解url编码和参数处理,以及如何构造URL来避开服务器检查。
打开靶场,查看源码可以看到,source.php注释掉了
打开source.php界面
得到另外一个文件,hint.php
得到flag所在的文件名为:ffffllllaaaagggg
接下来继续看source.php
1.第一个if语句对变量进行检验,要求
p
a
g
e
为字符串,否则返回
f
a
l
s
e
2.
第二个
i
f
语句判断
page为字符串,否则返回false 2.第二个if语句判断
page为字符串,否则返回false2.第二个if语句判断page是否存在于
w
h
i
t
e
l
i
s
t
数组中,存在则返回
t
r
u
e
3.
第三个
i
f
语句判断截取后的
whitelist数组中,存在则返回true 3.第三个if语句判断截取后的
whitelist数组中,存在则返回true3.第三个if语句判断截取后的page是否存在于
w
h
i
t
e
l
i
s
t
数组中,截取
whitelist数组中,截取
whitelist数组中,截取page中’?'前部分,存在则返回true
4.第四个if语句判断url解码并截取后的
p
a
g
e
是否存在于
page是否存在于
page是否存在于whitelist中,存在则返回true
若以上四个if语句均未返回值,则返回false
有三个if语句可以返回true,第二个语句直接判断$page,不可用
第三个语句截取’?‘前部分,由于?被后部分被解析为get方式提交的参数,也不可利用
第四个if语句中,先进行url解码再截取,因此我们可以将?经过两次url编码,在服务器端提取参数时解码一次,checkFile函数中解码一次,仍会解码为’?‘,仍可通过第四个if语句校验。(’?‘两次编码值为’%253f’),构造url:
http://xxx.xxx.xxx.xxx/source.php?file=source.php%253f…/ffffllllaaaagggg
经过测试发现无返回值,这可能是因为我们不知道ffffllllaaaagggg文件存放的具体位置
所以依次增加…/,最终成功拿到flag
得到最终的flag
扫一扫
1542
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
