🍬 博主介绍
👨🎓 博主介绍:大家好,我是 JTZ_ ,很高兴认识大家~
✨主攻领域:【WEB 安全】
✨兼攻领域:【逆向分析】【SSM 网页制作】【应用程序编写】
🎉点赞➕评论➕收藏 == 养成习惯(一键三连)😋
🎉欢迎关注💗一起学习👍一起讨论⭐️一起进步📝文末有彩蛋
🙏作者水平有限,欢迎各位大佬指点,相互学习进步!
渗透
-
查看网页源码发现如下:
-
进入页面后我们会得到网页的相关源代码
<?php
highlight_file(__FILE__);
class emmm
{
public static function checkFile(&$page)
{
$whitelist = ["source"=>"source.php","hint"=>"hint.php"];
if (! isset($page) || !is_string($page)) {
echo "you can't see it";
return false;
}
if (in_array($page, $whitelist)) {
return true;
}
$_page = mb_substr( # 获取部分字符串
$page,
0,
mb_strpos($page . '?', '?') # 查找字符串在另一个字符串中首次出现的位置
);
if (in_array($_page, $whitelist)) {
return true;
}
$_page = urldecode($page);
$_page = mb_substr(
$_page,
0,
mb_strpos($_page . '?', '?')
);
if (in_array($_page, $whitelist)) {
return true;
}
echo "you can't see it";
return false;
}
}
if (! empty($_REQUEST['file'])
&& is_string($_REQUEST['file'])
&& emmm::checkFile($_REQUEST['file']) #
) {
include $_REQUEST['file'];
exit;
} else {
echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
}
?>
我们从得到的源代码中可以得到网页中还存在一个网页: hint.php
- 访问 hint.php 我们可以发现提示:
表明 flag 的存储位置,并暗示需要四层目录可能是因为每一个字母都写了四遍的原因 - 开始审计源代码
if (! empty($_REQUEST['file']) # 检查 file 这个变量是否为空
&& is_string($_REQUEST['file']) # 检查这个 file 变量是否为字符串
&& emmm::checkFile($_REQUEST['file']) # 调用函数进行检查
) {
include $_REQUEST['file'];
exit;
前面的第一、二点我们可以轻松的完成,主要为第三点
- 审计源代码
class emmm
{
public static function checkFile(&$page)
{
$whitelist = ["source"=>"source.php","hint"=>"hint.php"];
if (! isset($page) || !is_string($page)) { # 判断 file 是否为字符串以及
echo "you can't see it";
return false;
}
if (in_array($page, $whitelist)) { # 判断 file 值是否存在 $whitelist 数组中
return true;
}
$_page = mb_substr( # 获取部分字符串
$page,
0,
mb_strpos($page . '?', '?') # 查找 ? 在 file 中的第一次出现的位置
);
if (in_array($_page, $whitelist)) { # 判断 file 值是否存在 $whitelist 数组中
return true;
}
$_page = urldecode($page); # 对 file 进行 URL 编码
$_page = mb_substr( # 查找 ? 在 file 中的第一次出现的位置
$_page,
0,
mb_strpos($_page . '?', '?') # 判断 file 值是否存在 $whitelist 数组中
);
if (in_array($_page, $whitelist)) {
return true;
}
echo "you can't see it";
return false;
}
}
第一个 if 语句对变量进行检验,要求 p a g e 为字符串,否则返回 f a l s e 第二个 i f 语句判断 page为字符串,否则返回 false 第二个 if 语句判断 page为字符串,否则返回false第二个if语句判断page是否存在于 w h i t e l i s t 数组中,存在则返回 t r u e 第三个 i f 语句,截取传进参数中首次出现 ? 之前的部分,判断该部分是否存在于 whitelist数组中,存在则返回 true 第三个 if 语句,截取传进参数中首次出现?之前的部分,判断该部分是否存在于 whitelist数组中,存在则返回true第三个if语句,截取传进参数中首次出现?之前的部分,判断该部分是否存在于whitelist数组中,,存在则返回 true
第四个 if 语句,先对构造的 payload 进行 url 解码,再截取传进参数中首次出现?之前的部分,并判断该部分是否存在于$whitelist中,存在则返回 true
- 我们可以利用 第三个 if 语句构造参数
?file=source.php?/../../../../ffffllllaaaagggg第一个?表示传参,第二个?用来满足截取
原理
- 为什么 include source.php(或hint.php)?/…/…/…/…/ffffllllaaaagggg能执行成功
因为我们参数中存在
/../../../../,所以在最后执行的时候, include 会忽略 include_path 所定义的值,从 include(include_path + file) 进而将读取变为 include(‘/…/…/…/…/ffffllllaaaagggg’);
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
