首先打开靶场就是一个大大的滑稽
然后就查看他的源代码(首先),出现的是html代码
看到了提示查看source.php,但是我当时傻不拉几的直接在html代码页面的网址后面加上了后缀,就卡住了(后来查了好半天,到处问问才发现是在滑稽页面网址上加上/source.php,我好蠢)
(我是连PHP都没学过的菜鸡)所以引入一下(15条消息) PHP 基础_高飞的博客-CSDN博客
https://blog.csdn.net/gaofei0428/article/details/111604734
然后看到的是一个“类”,先不管他直接往下看
对文件进行判断,必须要同时不为空,是字符串,满足checkfile函数的条件后,进入include函数(这里可以联想到文件包含漏洞),果然没有安全检测,所以
接着看checkfile函数里的内容一共有四个if,再看之前先查一下里面用到的函数:
1、isset()
2、is_string()
3、in_array()
判断一个元素是否在数组中
4、mb_substr()
?5、mb_strpos()
?接下来分析四个if的作用
1、第一个if作用和之前说的一样就不说了
2、判断page变量是否在白名单中
3、对page进行了URL解码,并将值赋给_page,接着利用两个函数返回字符串问号之前的内容(过滤掉?之后的内容)
问题来了:为什么要过滤?
? 因为到时要访问的是source.php后的目录的文件,所以形式为file=source.php?..(文件名),这个问号会过滤掉,所以可以用url编码。
?=%3f。
用url是因为后面有url解码函数urldecode()。
后面就重复了。
fffflllllaaaaagggg是在hint.php中的(通过添加后缀)
发现flag在那ffffflllllaaaagggg里面
接着我们就可以构造playload了
file=source.php%3f/../../../../../ffffllllaaaagggg
其中的%3f就是?,ffffllllaaaagggg的上级目录有几个也不知道,所以要一个个试。
接着将playload写进靶场网址名最后即可
好啦就是这些,第一个题真的耗时好多,但是收获也是多
?
?
?
?
?