HCTF热身解题：代码审计与目录穿越实战-优快云博客

本文链接：https://blog.youkuaiyun.com/unexpectedthing/article/details/120454426

本文详细解析了在HCTF竞赛中，通过代码审计发现`emmm::checkFile`函数的漏洞，并利用目录穿越技巧访问hint.php获取flag的过程。重点讲解了关键函数如mb_substr和mb_strpos在安全漏洞利用中的作用。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

文章目录

HCTF-热身

解题

1.首先，F12看网页
在这里插入图片描述
2.进/source.php,看到php代码

 <?php
    highlight_file(__FILE__);
    class emmm
    {
        public static function checkFile(&$page)
        {
            $whitelist = ["source"=>"source.php","hint"=>"hint.php"];
            if (! isset($page) || !is_string($page)) {
                echo "you can't see it";
                return false;
            }

            if (in_array($page, $whitelist)) {
                return true;
            }

            $_page = mb_substr(
                $page,
                0,
                mb_strpos($page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }

            $_page = urldecode($page);
            $_page = mb_substr(
                $_page,
                0,
                mb_strpos($_page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }
            echo "you can't see it";
            return false;
        }
    }

    if (! empty($_REQUEST['file'])
        && is_string($_REQUEST['file'])
        && emmm::checkFile($_REQUEST['file'])
    ) {
        include $_REQUEST['file'];
        exit;
    } else {
        echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
    }  
?>

首先代码审计

if (! empty($_REQUEST['file'])
        && is_string($_REQUEST['file'])
        && emmm::checkFile($_REQUEST['file'])
    ) {
        include $_REQUEST['file'];
        exit;
    } else {
        echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
    }

这一串代码，就是传参file，看到include，我们可能使用文件包含的知识。

//白名单，说明存在source.php和hint.php
 $whitelist = ["source"=>"source.php","hint"=>"hint.php"];
            if (! isset($page) || !is_string($page)) {
                echo "you can't see it";
                return false;
            }
//in_array()，就是查看file传的参数是否在白名单里
            if (in_array($page, $whitelist)) {
                return true;
            }
//mb_sustr,mb_strpos，这两个函数，就是将file后面的参数截取出来，是以？来分开。
            $_page = mb_substr(
                $page,
                0,
                mb_strpos($page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }

            $_page = urldecode($page);
            $_page = mb_substr(
                $_page,
                0,
                mb_strpos($_page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }
            echo "you can't see it";
            return false;
        }
    }

所以我们可以构造
?file=hint.php?其他内容

访问hint.php
在这里插入图片描述
这个是个文件目录，多个字母重复，我们想到了目录穿越
所以构造成功，得到flag

mb_substr()和substr差不多

mb_substr(
    string $str,
    int $start,
    int $length = NULL,
    string $encoding = mb_internal_encoding()
): string
参数：
str：从该 string 中提取子字符串。
start：如果 start 不是负数，返回的字符串会从 str 第 start 的位置开始，从 0 开始计数。举个例子，字符串 'abcdef'，位置 0 的字符是 'a'，位置 2 的字符是 'c'，以此类推。
如果 start 是负数，返回的字符串是从 str 末尾处第 start 个字符开始的。
length：str 中要使用的最大字符数。如果省略了此参数或者传入了 NULL，则会提取到字符串的尾部。
encoding：encoding 参数为字符编码。如果省略或是 null，则使用内部字符编码。

返回值
mb_substr() 函数根据 start 和 length 参数返回 str 中指定的部分。

mb_strpos()，和strpos()差不多

mb_strpos — 查找字符串在另一个字符串中首次出现的位置
说明
mb_strpos(
    string $haystack,
    string $needle,
    int $offset = 0,
    string $encoding = mb_internal_encoding()
): int
查找 string 在一个 string 中首次出现的位置。
基于字符数执行一个多字节安全的 strpos() 操作。 第一个字符的位置是 0，第二个字符的位置是 1，以此类推。
参数
haystack
要被检查的 string。
needle
在 haystack 中查找这个字符串。 和 strpos() 不同的是，数字的值不会被当做字符的顺序值。
offset
搜索位置的偏移。如果没有提供该参数，将会使用 0。负数的 offset 会从字符串尾部开始统计。
encoding
encoding 参数为字符编码。如果省略或是 null，则使用内部字符编码。
返回值
返回 string 的 haystack 中 needle 首次出现位置的数值。 如果没有找到 needle，它将返回 false