【攻防世界】Web warmup

知识点讲解

这一题主要是利用了include的特性

如果include的文件名中含有“/”，那么它会识别其为一个带目录的文件，只有最后一个“/”后的字符串对应的文件会被包含，而前面的字符串都只是在指定目录

意思是，如果我们的payload是这样的
?file=hint.php?/…/…/…/…/flag
对于include来说，就只会识别"/"后面的内容，变成
?file=…/…/…/…/flag
了解了这个特性之后，我们就可以开始做题了

总思路

打开页面

是一个滑稽的页面，没有什么别的提示，我们看一下源码吧

得到一个source.php，我们访问一下看看

我们来分析一下这串代码，先定义了一个class类，我们先不管他，先看下面的

if (! empty($_REQUEST['file'])
        && is_string($_REQUEST['file'])
        && emmm::checkFile($_REQUEST['file'])
    ) {
        include $_REQUEST['file'];
        exit;
    } else {
        echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
    }  

要接收一个名为file的传参，用post或者get传都可以，并且它要是字符串，还要通过checkFile函数的检查，如果都通过了，就会包含我们传入的file参数，如果没通过，就会打印滑稽这个图片
了解了我们需要怎么获得flag之后，我们再来分析下checkFile这个函数

public static function checkFile(&$page)
        {
            $whitelist = ["source"=>"source.php","hint"=>"hint.php"];
            if (! isset($page) || !is_string($page)) {
                echo "you can't see it";
                return false;
            }

            if (in_array($page, $whitelist)) {
                return true;
            }

            $_page = mb_substr(
                $page,
                0,
                mb_strpos($page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }

            $_page = urldecode($page);
            $_page = mb_substr(
                $_page,
                0,
                mb_strpos($_page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }
            echo "you can't see it";
            return false;
        }

整体来看，主要是四个if，并且他们不是ifelse关系，只要满足其中一个if就行，如果一个if都不满足，就返回you can’t see it，并且为false，我们分段来分析一下

首先是第一段

$whitelist = ["source"=>"source.php","hint"=>"hint.php"];
            if (! isset($page) || !is_string($page)) {
                echo "you can't see it";
                return false;
            }
            if (in_array($page, $whitelist)) {
                return true;
            }

定义了一个whitelist，source.php跟hint.php，并且传入的参数得为字符串，而且传入的参数得在whitelist里面，否则就返回false不通过

再看第二段

$_page = mb_substr(
                $page,
                0,
                mb_strpos($page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }

这里使用了两个函数，分别为mb_substr何mb_strpos，我们简单解释一下这两个函数

mb_substr() 函数返回字符串的一部分，我们都知道substr() 函数，它只针对英文字符，如果要分割的中文文字则需要使用 mb_substr()。
这里的意思是待分割字符串为$page，从第0位开始，到mb_strpos($page . ‘?’, ‘?’)位
注释：如果 start 参数是负数且 length 小于或等于 start，则 length 为 0。
mb_strpos函数返回要查找的字符串在别一个字符串中首次出现的位置
这里是获得$page首次出现的位置，比如我们传入的字符串为source.php?xxxxxx它就会获取到?前的位置就是10
这一段截取的结果就是source.php

这一段的意思就是，截取我们传入的字符串?前面的字符，然后去判断，是否在whitelist里面，如果在，就返回true

我们再看看第三段

$_page = urldecode($page);
            $_page = mb_substr(
                $_page,
                0,
                mb_strpos($_page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }
            echo "you can't see it";
            return false;

把我们传入的东西进行url解码后进行跟第二段一样的字符串截取，然后进行第二段一样的判断

解题

我们主要是满足第二个if，刚开始的时候，我说过，如果传入的参数有"/“，那么include的时候，他就只会包含”/"后面的东西，我们就利用这一点，来包含flag文件
我们查看一下hint.php的内容

获得了flag文件的名字ffffllllaaaagggg，我们就可以构造payload来包含文件了

成功获取到flag，最终的payload为：?file=hint.php?/…/…/…/…/…/ffffllllaaaagggg