F12查看到源码
<?php
highlight_file(__FILE__);
class emmm
{
public static function checkFile(&$page)
{
$whitelist = ["source"=>"source.php","hint"=>"hint.php"];
if (! isset($page) || !is_string($page)) {
echo "you can't see it";
return false;
}
if (in_array($page, $whitelist)) {
return true;
}
$_page = mb_substr(
$page,
0,
mb_strpos($page . '?', '?')
);
if (in_array($_page, $whitelist)) {
return true;
}
$_page = urldecode($page);
$_page = mb_substr(
$_page,
0,
mb_strpos($_page . '?', '?')
);
if (in_array($_page, $whitelist)) {
return true;
}
echo "you can't see it";
return false;
}
}
if (! empty($_REQUEST['file'])
&& is_string($_REQUEST['file'])
&& emmm::checkFile($_REQUEST['file'])
) {
include $_REQUEST['file'];
exit;
} else {
echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
}
?>
代码分析:
highlight_file(__FILE__);
高亮显示文件函数
public static function checkFile(&$page)
{
$whitelist = ["source"=>"source.php","hint"=>"hint.php"];
if (! isset($page) || !is_string($page)) {
echo "you can't see it";
return false;
}
checkfile函数里(),提示我们source.php和hint.php
访问hint.php得到语句:
flag not here, and flag in ffffllllaaaagggg
将传递的参数赋值给page,然后判断若page变量不存在或非字符串
则echo “you can’t see it”
if (in_array($page, $whitelist)) {
return true;
}$_page = mb_substr(
$page,
0,
mb_strpos($page . '?', '?')
);
if (in_array($_page, $whitelist)) {
return true;
}
若变量page存在于whitelist数组中
则返回true
以下看几个php函数:
php in_array函数
定义和用法:
in_array()函数搜索数组中是否存在指定的值
**注释:**如果search参数是字符串并且设置为true,则搜索区分大小写
in_array(search,array,type)
| 参数 | 描述 |
|---|---|
| search | 必需。规定要在数组搜索的值。 |
| array | 必需。规定要搜索的数组。 |
| type | 可选。如果设置该参数为 true,则检查搜索的数据与数组的值的类型是否相同。 |
php mb_substr()函数
mb_substr() 函数返回字符串的一部分,之前我们学过 substr() 函数,它只针对英文字符,如果要分割的中文文字则需要使用 mb_substr()。
**注释:**如果 start 参数是负数且 length 小于或等于 start,则 length 为 0。
mb_substr ( string $str , int $start [, int $length = NULL [, string $encoding = mb_internal_encoding() ]] ) : string
| 参数 | 描述 |
|---|---|
| str | 必需。从该 string 中提取子字符串。 |
| start | 必需。规定在字符串的何处开始。正数 - 在字符串的指定位置开始负数 - 在从字符串结尾的指定位置开始0 - 在字符串中的第一个字符处开始 |
| length | 可选。规定要返回的字符串长度。默认是直到字符串的结尾。正数 - 从 start 参数所在的位置返回负数 - 从字符串末端返回 |
| encoding | 可选。字符编码。如果省略,则使用内部字符编码。 |
php mb_strpos函数
定义和用法:
查找字符串在另一个字符串首次出现的位置
基于字符数执行一个多字节安全的strpos()操作,第一个字符的位置是0,第二个字符的位置是1,依次类推
strpos(*string,find,start*)
| 参数 | 描述 |
|---|---|
| string | 必需。规定被搜索的字符串。 |
| find | 必需。规定要查找的字符。 |
| start | 可选。规定开始搜索的位置。 |
我们大概就可以知道了,这段代码表示截取 p a g e 中 ′ ? ′ 前 部 分 , 若 无 则 截 取 整 个 page中'?'前部分,若无则截取整个 page中′?′前部分,若无则截取整个page
$_page = urldecode($page);
这里是对page进行url解码
if (! empty($_REQUEST['file'])
&& is_string($_REQUEST['file'])
&& emmm::checkFile($_REQUEST['file'])
) {
include $_REQUEST['file'];
exit;
} else {
echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
这里首先判断$_REQUEST[‘file’]值非空
第二判断是否为字符串
再就是能否通过checkfile()函数校验
后面是包含$_REQUEST[‘file’]文件
如果条件不满足就打印滑稽表情
结论:
1.第一个``if``语句对变量进行检验,要求``$page``为字符串,否则返回false
2.第二个``if``语句判断``$page``是否存在于``$whitelist``数组中,存在则返回true
3.第三个``if``语句判断截取后的``$page``是否存在于``$whitelist``数组中,截取``$page``中``'?'``前部分,存在则返回true
4.第四个``if``语句判断url解码并截取后的``$page``是否存在于``$whitelist``中,存在则返回true
若以上四个``if``语句均未返回值,则返回false
有三个``if``语句可以返回true,第二个语句直接判断``$page``,不可用
第三个语句截取``'?'``前部分,由于?被后部分被解析为get方式提交的参数,也不可利用
第四个``if``语句中,先进行url解码再截取,因此我们可以将?经过两次url编码,在服务器端提取参数时解码一次,checkFile函数中解码一次,仍会解码为``'?'``,仍可通过第四个``if``语句校验。(``'?'``两次编码值为``'%253f'``),构造url:
payload:
source.php?file=hint.php%253F../../../../../ffffllllaaaagggg
或者
source.php?file=source.php%253F../../../../../ffffllllaaaagggg
hint.php和source.php都是白名单里文件
因为我们不知道ffffllllaaaagggg文件存放的具体位置
所以可以依次增加 …/
最后拿到flag
借鉴于: