[HCTF 2018]热身
首先点击打开靶机,发现只有一个表情包。
然后便查看此网页的源代码,发现存在着一个source.php。之后打开是一大串Php代码,好,开始审计代码。
<?php
highlight_file(__FILE__);
class emmm
{
public static function checkFile(&$page)
{
$whitelist = ["source"=>"source.php","hint"=>"hint.php"];
if (! isset($page) || !is_string($page)) {
echo "you can't see it";
return false;
}
if (in_array($page, $whitelist)) {
return true;
}
$_page = mb_substr(
$page,
0,
mb_strpos($page . '?', '?')
);
if (in_array($_page, $whitelist)) {
return true;
}
$_page = urldecode($page);
$_page = mb_substr(
$_page,
0,
mb_strpos($_page . '?', '?')
);
if (in_array($_page, $whitelist)) {
return true;
}
echo "you can't see it";
return false;
}
}
if (! empty($_REQUEST['file'])
&& is_string($_REQUEST['file'])
&& emmm::checkFile($_REQUEST['file'])
) {
include $_REQUEST['file'];
exit;
} else {
echo "<br><img src="https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg" />";
}
?>
在这里有两个文件,分别为:source.php和hint.php。进去hint.php里会有
然后,回过来看source.php,经过审计你会发现需要三个条件:1 file不能为空。2 file内容是字符串。 3 checkfile函数返回值为true。进到Chekfile函数里,进行分析。有一个whitellist。还有第一个if是说page不为空值并且不能是字符串;第二个if的意思是表示page有没有包含在whitelist里;之后有两个函数:mb_substr和mb_strpos。截取?之后的字符串赋给page;还有一个if再一次表示说page有没有包含在whitelist里;然后又进行了urldecode解码。
最后构造pyload。传递参数。要在目录里找到存放flag的地址ffffllllaaaagggg。而且问号上传的时候会自动进行解码。这里需要二重编码得到%253f。
构造出pyload:file=source.php%253f/../../../../ffffllllaaaagggg
得出最终flag