[BUUOJ记录] [HCTF 2018]WarmUp
BUUOJ Web的第一题,其实是很有质量的一道题,但是不知道为什么成了Solved最多的题目,也被师傅们笑称是“劝退题”,这道题的原型应该是来自于phpMyadmin的一个文件包含漏洞(CVE-2018-12613)
解题过程
解题思路
进入题目查看源代码发现提示:
跟进source.php得到源代码:
<?php
highlight_file(__FILE__);
class emmm
{
public static function checkFile(&$page)
{
$whitelist = ["source"=>"source.php","hint"=>"hint.php"];
if (! isset($page) || !is_string($page)) {
echo "you can't see it";
return false;
} if (in_array($page, $whitelist)) {
return true;
} $_page = mb_substr(
$page,
0,
mb_strpos($page . '?', '?')
);
if (in_array($_page, $whitelist)) {
return true;
} $_page = urldecode($page);
$_page = mb_substr(
$_page,
0,
mb_strpos($_page . '?', '?')
);
if (in_array($_page, $whitelist)) {
return true;
}
echo "you can't see it";
return false;
}
} if (! empty($_REQUEST['file'])
&& is_string($_REQUEST['file'])
&& emmm::checkFile($_REQUEST['file'])
) {
include $_REQUEST['file'];
exit;
} else {
echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
}
?>
代码分为两部分来看,第一部分是定义了emmm类的一个checkFile函数,用来检查传入的file参数是否合规:
class emmm
{
public static function checkFile(&$page)
{
$whitelist = ["source"=>"source.php","hint"=>"hint.php"];
if (! isset($page) || !is_string($page)) {
echo "you can't see it";
return false;
} if (in_array($page, $whitelist)) {
return true;
} $_page = mb_substr(
$page,
0,
mb_strpos($page . '?', '?')
);
if (in_array($_page, $whitelist)) {
return true;
} $_page = urldecode($page);
$_page = mb_substr(
$_page,
0,
mb_strpos($_page . '?', '?')
);
if (in_array($_page, $whitelist)) {
return true;
}
echo "you can't see it";
return false;
}
}
第二部分是程序全局代码,从这里我们可以得到包含文件的三个条件:
if (! empty($_REQUEST['file'])
&& is_string($_REQUEST['file'])
&& emmm::checkFile($_REQUEST['file']) //用$_REQUEST来接收file参数,如果file参数的值不为空、为字符串、可以通过emmm类checkFile函数检测,则包含该文件
) {
include $_REQUEST['file'];
exit;
} else {
echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
}
在emmm类的checkFile函数中我们可以看到白名单中有两个文件:
$whitelist = ["source"=>"source.php","hint"=>"hint.php"];
包含一下hint.php文件来试试 /source.php?file=hint.php :
提示我们Flag在ffffllllaaaagggg中,那么我们解题的关键就是如何包含这个在whitelist外的文件
从第二部分代码我们可以看出,重点是如何让ffffllllaaaagggg通过checkFile的检查,因此我们就需要从emmm类的checkFile函数入手
前置知识点
我们在读这个函数的代码前需要提前了解几个checkFile函数中出现的函数:
1. in_array() 函数搜索数组中是否存在指定的值
更多信息参考:https://www.w3school.com.cn/php/func_array_in_array.asp
2. mb_substr() 函数返回字符串的一部分,之前我们学过 substr() 函数,它只针对英文字符,如果要分割的中文文字则需要使用 mb_substr()
更多信息参考:https://www.runoob.com/php/func-string-mb_substr.html
3. mb_strpos() 查找字符串在另一个字符串中首次出现的位置
更多信息参考:https://www.php.net/manual/zh/function.mb-strpos.php
核心代码分析
在了解了上面的几个小点之后我们返回来看核心代码:
class emmm
{
public static function checkFile(&$page)
{
$whitelist = ["source"=>"source.php","hint"=>"hint.php"];
if (! isset($page) || !is_string($page)) { //page必须不为空或为字符串
echo "you can't see it";
return false;
} if (in_array($page, $whitelist)) { //in_array()检测page是否在whitelist中
return true;
} $_page = mb_substr( //如果page含有?,则获取page第一个?前的值并赋给_page变量
$page,
0,
mb_strpos($page . '?', '?')
);
if (in_array($_page, $whitelist)) { //检测_page是否在whitelist中
return true;
} $_page = urldecode($page); //给_page二次赋值,使其等于URL解码之后的page
$_page = mb_substr(
$_page,
0,
mb_strpos($_page . '?', '?') //如果_page有?,则截取_page(URL解码后的page)两个?中间的值
);
if (in_array($_page, $whitelist)) { //检测_page是否在whitelist中
return true;
}
echo "you can't see it";
return false;
}
}
逻辑可能看着有点乱,所以我们梳理一下逻辑,这里引用王叹之师傅的分析:
可以看到函数代码中有四个if语句:
第一个if语句 对变量进行检验,要求$page为字符串,否则返回false //因为返回False所以这里无用
第二个if语句 判断$page是否存在于$whitelist数组中,存在则返回true
第三个if语句 判断截取后的$page是否存在于$whitelist数组中,截取$page中'?'前部分,存在则返回true
第四个if语句 判断url解码并截取后的$page是否存在于$whitelist中,存在则返回true
若以上四个if语句均未返回值,则返回false有三个if语句可以返回true,第二个语句直接判断$page,不可用
第三个语句截取'?'前部分,由于?被后部分被解析为get方式提交的参数,也不可利用
第四个if语句中,先进行url解码再截取,因此我们可以将?经过两次url编码,在服务器端提取参数时解码一次,checkFile函数中解码一次,仍会解码为'?',仍可通过第四个if语句校验。
只要这四个if语句有一个为true即可包含file,关键点在_page 经过截断后返回true.
所以我们的突破点就在于第四个if语句中,只要满足他的条件,我们就可以包含文件:
$_page = urldecode($page);
$_page = mb_substr(
$_page,
0,
mb_strpos($_page . '?', '?')
);
if (in_array($_page, $whitelist)) {
return true;
}
这里URL解码了一次$page值,这里需要注意的是,PHP中$_GET、$_POST、$_REQUEST这类函数在提取参数值时会URL解码一次
而这里在代码中又一次URL解码了一次,共计解码了两次,所以我们也需要对传入的值进行两次URL编码
其次我们的突破点就在于这段代码只会截取?之前的字符串拿去和whitelist比对,因此只要确保?前的值是source.php或hint.php即可返回true
等同于 /source.php?file=source.php%253F123456 便可以使用include()函数包含 source.php?123456 这个文件(%253f是?URL编码两次后的值)
所以可以构造Payload:
/index.php?file=source.php%253F/../../../../ffffllllaaaagggg
需要注意的是,这里之所以可以包含到ffffllllaaaagggg是因为PHP将 source.php%253F/ 视作了一个文件夹,然后 ../ 的用途是返回上级目录
ffffllllaaaagggg位于根目录下,一般Web服务的文件夹在/var/www/html目录中,再加上source.php?/这个“文件夹”,所以我们总共需要../四次来返回到根目录
(如果比赛中不知道flag具体位置的话可以一层一层来试)
最新文章
- MSSQLServer 纵向表转横向表 横向表转纵向表 行转列 列转行
- sqlplus 中spool命令的简单用法
- 阅读笔记 The Impact of Imbalanced Training Data for Convolutional Neural Networks [DegreeProject2015] 数据分析型
- TC79
- POJ 2484 A Funny Game(神题!)
- React模板
- HDU 1695 GCD 莫比乌斯反演
- IOS XMPP
- jquery数据验证插件
- 【编程技巧】NSTimer类的使用
- UIImage 内存细节
- Java判断字符串是否为数字的自定义方法
- 关于tomcat WEB-INF/lib下类加载顺序
- C# winfrom 递归(城市名)
- Spark入门到精通--(第二节)Scala编程详解基础语法
- cas4.2.4 登添加验证码
- UTF-8和GBK编码的区别
- EXP-00056遇到Oracle错误1455问题解决办法
- jsonp 遍历文档
- Codeforces Global Round1 简要题解
热门文章
- 学会这些Python美图技巧,就等着女朋友夸你吧
- IdentityServer4 (4) 静默刷新(Implicit)
- Java 集合框架综述,这篇让你吃透!
- 2020-07-23:开启rdb后,redis的启动流程是怎样的?
- 2020-05-25:MQ应用场景、Kafka和rabbit区别?kafka为什么支撑高并发? 来自
- BLE MESH 学习[1] - ESP32 篇
- python去除 数据的 重复行
- Vue3.0数据响应式原理
- 手把手教你使用VUE+SpringMVC+Spring+Mybatis+Maven构建属于你自己的电商系统之vue后台前端框架搭建——猿实战01
- Kettle基本使用