[HCTF 2018]WarmUp1练习记录

ctf练习记录第一天

打开靶机：

 滑稽：）

顺手f12一下：

哦吼，发现了什么？

滑稽上面出现一段php代码：

 <?php
    highlight_file(__FILE__);
    class emmm
    {
        public static function checkFile(&$page)
        {
            $whitelist = ["source"=>"source.php","hint"=>"hint.php"];
            if (! isset($page) || !is_string($page)) {
                echo "you can't see it";
                return false;
            }

            if (in_array($page, $whitelist)) {
                return true;
            }

            $_page = mb_substr(
                $page,
                0,
                mb_strpos($page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }

            $_page = urldecode($page);
            $_page = mb_substr(
                $_page,
                0,
                mb_strpos($_page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }
            echo "you can't see it";
            return false;
        }
    }

    if (! empty($_REQUEST['file'])
        && is_string($_REQUEST['file'])
        && emmm::checkFile($_REQUEST['file'])
    ) {
        include $_REQUEST['file'];
        exit;
    } else {
        echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
    }  
?> 

 好，然后就是php代码审计了：)

 这里我们可以看到如果file的文件不为空并且是字符串，还经过emmm类的checkFile函数过滤后就执行文件包含，需要包含的文件就是源码中出现的hint.php中的文件：

 然后继续审计emmm中的代码：

其中：

mb_substr()函数返回字符串的一部分

mb_strpos()查找字符串在另一个字符串中首次出现的位置

urldecode()用于解码给出的已编码字符串中的任何%##以及中文等被编码的内容。

in_array()搜索数组中是否存在指定的值

这里的意思是传入一个值然后返回字符串的一部分，判断其是否在白名单中，url解码后再过滤一次，如果最后返回true,就可以包含文件。

然后构造payload：

/?file=source.php%253F../../../../../ffffllllaaaagggg

/?file=hint.php%253F../../../../../ffffllllaaaagggg