打开靶场,查看源码可以看到,source.php注释掉了
打开source.php界面
得到另外一个文件,hint.php
得到flag所在的文件名为:ffffllllaaaagggg
接下来继续看source.php
1.第一个if语句对变量进行检验,要求
p
a
g
e
为字符串,否则返回
f
a
l
s
e
2.
第二个
i
f
语句判断
page为字符串,否则返回false 2.第二个if语句判断
page为字符串,否则返回false2.第二个if语句判断page是否存在于
w
h
i
t
e
l
i
s
t
数组中,存在则返回
t
r
u
e
3.
第三个
i
f
语句判断截取后的
whitelist数组中,存在则返回true 3.第三个if语句判断截取后的
whitelist数组中,存在则返回true3.第三个if语句判断截取后的page是否存在于
w
h
i
t
e
l
i
s
t
数组中,截取
whitelist数组中,截取
whitelist数组中,截取page中’?'前部分,存在则返回true
4.第四个if语句判断url解码并截取后的
p
a
g
e
是否存在于
page是否存在于
page是否存在于whitelist中,存在则返回true
若以上四个if语句均未返回值,则返回false
有三个if语句可以返回true,第二个语句直接判断$page,不可用
第三个语句截取’?‘前部分,由于?被后部分被解析为get方式提交的参数,也不可利用
第四个if语句中,先进行url解码再截取,因此我们可以将?经过两次url编码,在服务器端提取参数时解码一次,checkFile函数中解码一次,仍会解码为’?‘,仍可通过第四个if语句校验。(’?‘两次编码值为’%253f’),构造url:
http://xxx.xxx.xxx.xxx/source.php?file=source.php%253f…/ffffllllaaaagggg
经过测试发现无返回值,这可能是因为我们不知道ffffllllaaaagggg文件存放的具体位置
所以依次增加…/,最终成功拿到flag
得到最终的flag