1:题目
2:解题
2.1:查看源码
? ? ? ? 按F12发现提示:<!--source.php-->
2.2:尝试打开source.php
? ? ? ??http://f25ece33-0891-47a1-b89a-eefac33b2f4f.node4.buuoj.cn/source.php
? ? ? ? 得到代码:
2.3:解析代码
2.3.1:代码正文解析? ?
if (! empty($_REQUEST['file'])
&& is_string($_REQUEST['file'])
&& emmm::checkFile($_REQUEST['file'])
) {
include $_REQUEST['file'];
exit;
} else {
echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
} 2.3.1.1:$_REQUEST
? ? ? ? 变量 $_REQUEST用于收集HTML表单提交的数据,默认情况下包含了$_GET,$_POST和$_COOKIE的数组。
? ? ? ? GET是从服务器上获取数据,GET是把参数数据队列加到提交表单的ACTION属性所指的URL中,值和表单内各个字段一一对应,在URL中可以看到。
????????POST是向服务器传送数据,POST是通过HTTP POST机制,将表单内各个字段与其内容放置在HTML HEADER内一起传送到ACTION属性所指的URL地址,用户看不到这个过程。
????????通过POST和GET方法提交的所有数据都可以通过$_REQUEST["参数"]获得。
2.3.1.2:empty()
????????empty(var)?函数用于检查一个变量是否为空,当 变量var 存在,并且是一个非空非零的值时返回 FALSE 否则返回 TRUE。
2.3.1.3:is_string()
????????is_string(var)检测变量是否是字符串,如果var是字符串则返回true,否则返回false。
2.3.1.4:include
? ? ? ? include语句包含并运行指定文件。
? ? ? ? 文件查找过程:
? ? ? ? 1、被包含文件先按参数给出的路径寻找。
? ? ? ? 2、如果没有给出目录(只有文件名)时则按照include_path指定的目录寻找。
? ? ? ? 3、如果在include_path下没找到该文件,则include最后才在调用脚本文件所在的目录和当前工作目录下寻找。
? ? ? ? 4、如果最后仍未找到文件则include会发出一条警告。
2.3.1.5:逻辑结构
? ? ? ? 传入的file参数需满足以下3个条件,才可包含并运行file:
????????(1)不为空
? ? ? ? (2)为字符串
? ? ? ? (3)emmm::checkFile($_REQUEST['file']) 返回 true
2.3.2:类emmm解析
class emmm
{
public static function checkFile(&$page)
{
$whitelist = ["source"=>"source.php","hint"=>"hint.php"];
if (! isset($page) || !is_string($page)) {
echo "you can't see it";
return false;
}
if (in_array($page, $whitelist)) {
return true;
}
$_page = mb_substr(
$page,
0,
mb_strpos($page . '?', '?')
);
if (in_array($_page, $whitelist)) {
return true;
}
$_page = urldecode($page);
$_page = mb_substr(
$_page,
0,
mb_strpos($_page . '?', '?')
);
if (in_array($_page, $whitelist)) {
return true;
}
echo "you can't see it";
return false;
}
}2.3.2.1:第一部分
$whitelist = ["source"=>"source.php","hint"=>"hint.php"];
if (! isset($page) || !is_string($page)) {
echo "you can't see it";
return false;
}? ? ? ? 设置了白名单数组:source.php,hint.php;尝试将这两个文件赋给参数file:
? ? ? ? http://655324d1-2d9d-4368-b055-00747977dfd1.node4.buuoj.cn/?file=source.php
?????????http://655324d1-2d9d-4368-b055-00747977dfd1.node4.buuoj.cn/?file=hint.php
? ? ? ? ?这句话说明flag可能在文件ffffllllaaaagggg中,我们要include ffffllllaaaagggg。
2.3.2.2:第二部分
if (in_array($page, $whitelist)) {
return true;
}? ? ? ? 若$page的值在数组$whitelist中,则返回true。
2.3.2.3:第三部分
$_page = mb_substr(
$page,
0,
mb_strpos($page . '?', '?')
);
if (in_array($_page, $whitelist)) {
return true;
}2.3.2.3.1:mb_substr()
????????mb_substr ( string $str , int $start , int $length )? ? ? ??
????????mb_substr() 函数从$str的$start字符位置开始,截断$length个字符并返回字符串。$str的第一个字符的位置是 0,第二个字符的位置是 1,以此类推。
????????类似substr() 函数,substr() 函数只针对英文字符,如果要分割的中文文字则需要使用 mb_substr()。
2.3.2.3.2:mb_strpos()
? ? ? ? mb_strpos(haystack, needle),查找字符串needle在另一个字符串haystack中首次出现的位置,返回位置(int)。第一个字符的位置是 0,第二个字符的位置是 1,以此类推。
2.3.2.3.3:逻辑解释
? ? ? ? 将$page字符串第一个问号?以前的字符串截下来,保存在$_page中,若$_page值为source.php、hint.php则返回true。
2.3.2.3:第四部分
$_page = urldecode($page);
$_page = mb_substr(
$_page,
0,
mb_strpos($_page . '?', '?')
);
if (in_array($_page, $whitelist)) {
return true;
}? ? ? ? 若要执行第三部分语句,说明第一、二、三部分的if语句条件均为false。第四部分if语句中的$_page经历了如下改变:一次问号截断,一次url解码,一次问号截断。
? ? ? ? 注:url传入服务器会自动进行一次urldecode。
? ? ? ? ? ? ? ??的url编码为%3F,双重url编码为%253F。
#第三部分
$_page = mb_substr(
$page,
0,
mb_strpos($page . '?', '?')
);
#第四部分
$_page = urldecode($page);
$_page = mb_substr(
$_page,
0,
mb_strpos($_page . '?', '?')
);2.3.2.4:如何返回true
? ? ? ? 以下三种构造方式均可让emmm::checkFile($_REQUEST['file'])返回true:
? ? ? ? (1)满足第二部分if语句:file=source.php
? ? ? ? (2)满足第三部分if语句:file=source.php?xxxxxxxxx
? ? ? ? (3)满足第四部分if语句:file=source.php%253Fxxxxxxx
? ? ? ? 注:source.php可换成hint.php。
2.2:构造参数
? ? ? ? file=source.php?/../../../../ffffllllaaaagggg
????????file=source.php%253F/../../../../ffffllllaaaagggg
2.2.1:构造原理
? ? ? ? (1)要满足emmm::checkFile($_REQUEST['file'])返回true
? ? ? ? (2)要include找到文件ffffllllaaaagggg
? ? ? ? (3)../代表返回上级目录
2.2.2:疑惑解释
? ? ? ? 疑惑:source.php?/? 不是文件目录为何能找到ffffllllaaaagggg?
? ? ? ? 解释:include会将source.php?/看做是一个目录,即使它不存在,只要通过几个 ../ 返回上级目录即可。比如 file=source.php?/aaa/bbb/ccc/../../../../../../../ffffllllaaaagggg 依然可行。