开局一个笑脸,没什么东西。
查看源代码(个人感觉ctf的题总喜欢在源代码藏东西) ,发现一个文件直接访问,便开始代码审计。
看代码前 要清楚三点
1,file可以传入值。
2,hint文件提示(flag not here, and flag in ffffllllaaaagggg)。
3,如何绕过flie参数检测 正确包含flag文件得到flag。而以下代码围绕如何绕过file值检测做出解析。
为了便于观看 以及书写通过注释的方式解释代码的功能。
<?php
highlight_file(__FILE__);
class emmm
{
public static function checkFile(&$page)
{
$whitelist = ["source"=>"source.php","hint"=>"hint.php"];
//whitelist--白名单 这是一个关联数组,当echo $whitelist["source"]
//则输出 source.php
if (! isset($page) || !is_string($page)) {
echo "you can't see it";
return false;
}//对传入参数 检测变量 isset()检测$page是否为空 is_string()检测$page是否为字符串
//则上面判断条件为 如果$page不为空 或者不为字符串 则输出 "you can't see it"并返回false
if (in_array($page, $whitelist)) {
return true;
}//检测$page是否在关联数组白名单($whitelist)中,是则返回ture 不是则跳出判断
$_page = mb_substr(
$page,
0,
mb_strpos($page . '?', '?')
);
//me_substr('who is gay?',0,2) 输出 wh(表示输出0到2的字符),而mb_strpos('abcd',d) 检测 函数d在字符串 "abcd"中什么时候出现的 该函数输出3
//而上面的判断则表示为: mb_strpos() 原意是查找 $page 的字符串一共有多少位 (不过我们可以通过传入?绕过检测了存在了多少字符)
//则mb_substr()的原意是 检测并提取$page的值赋值给$_page 但是由于mb_strpos()我们可以添加?来控制传给$_page的数据
if (in_array($_page, $whitelist)) {
return true;
}
$_page = urldecode($page);//对 page进行解码后,再传入值给$_page,和上面一样的操作
$_page = mb_substr(
$_page,
0,
mb_strpos($_page . '?', '?')
);
if (in_array($_page, $whitelist)) {
return true;
}//如果$_page存在数组之中则 返回ture ,嘿嘿想到什么了吗? 没错通过?控制 传入的$_page值,
//这时我们可以把file=hint.php?../../../../../../ffffllllaaaagggg,上面式子则检测到hint.php而后面的没有检测到
//这时候就有人提出疑问 这个东西貌似也不可以找不到文件吧?没错正常来讲是包含不了的,但是这里的include函数有一个特性
//就是当前面的文件无法识别时,就会去执行../后面的文件,该函数就算报错 也会继续执行。
· //但require函数不同 ,如果在文件不存在或者文件包含过程中出现错误,则会发生致命错误停止脚本运行。
echo "you can't see it";
return false;
}
}
if (! empty($_REQUEST['file'])
&& is_string($_REQUEST['file'])
&& emmm::checkFile($_REQUEST['file'])//满足三个条件 执行文件包含操作。
) {
include $_REQUEST['file'];
exit;
} else {
echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
}
?>
以上内容 均为个人理解 欢迎指出错误。