BUUCTF WEB HCTF 2018 WarmUp

1:题目

BUUCTF WEB HCTF 2018 WarmUp

2:解题

2.1:查看源码

        按F12发现提示:<!--source.php-->

BUUCTF WEB HCTF 2018 WarmUp

2.2:尝试打开source.php

        http://f25ece33-0891-47a1-b89a-eefac33b2f4f.node4.buuoj.cn/source.php

        得到代码:

BUUCTF WEB HCTF 2018 WarmUp

2.3:解析代码

2.3.1:代码正文解析   

if (! empty($_REQUEST['file'])
      && is_string($_REQUEST['file'])
      && emmm::checkFile($_REQUEST['file'])
   ) {
      include $_REQUEST['file'];
      exit;
   } else {
      echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
   }  

2.3.1.1:$_REQUEST

        变量 $_REQUEST用于收集HTML表单提交的数据,默认情况下包含了$_GET,$_POST和$_COOKIE的数组。

        GET是从服务器上获取数据,GET是把参数数据队列加到提交表单的ACTION属性所指的URL中,值和表单内各个字段一一对应,在URL中可以看到。

        POST是向服务器传送数据,POST是通过HTTP POST机制,将表单内各个字段与其内容放置在HTML HEADER内一起传送到ACTION属性所指的URL地址,用户看不到这个过程。

        通过POST和GET方法提交的所有数据都可以通过$_REQUEST["参数"]获得。

2.3.1.2:empty()

        empty(var) 函数用于检查一个变量是否为空,当 变量var 存在,并且是一个非空非零的值时返回 FALSE 否则返回 TRUE。

2.3.1.3:is_string()

        is_string(var)检测变量是否是字符串,如果var是字符串则返回true,否则返回false。

2.3.1.4:include

        include语句包含并运行指定文件。

        文件查找过程:

        1、被包含文件先按参数给出的路径寻找。

        2、如果没有给出目录(只有文件名)时则按照include_path指定的目录寻找。

        3、如果在include_path下没找到该文件,则include最后才在调用脚本文件所在的目录和当前工作目录下寻找。

        4、如果最后仍未找到文件则include会发出一条警告。

2.3.1.5:逻辑结构

        传入的file参数需满足以下3个条件,才可包含并运行file:

        (1)不为空

        (2)为字符串

        (3)emmm::checkFile($_REQUEST['file']) 返回 true

2.3.2:类emmm解析

class emmm
    {
        public static function checkFile(&$page)
        {
            $whitelist = ["source"=>"source.php","hint"=>"hint.php"];
            if (! isset($page) || !is_string($page)) {
                echo "you can't see it";
                return false;
            }

            if (in_array($page, $whitelist)) {
                return true;
            }

            $_page = mb_substr(
                $page,
                0,
                mb_strpos($page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }

            $_page = urldecode($page);
            $_page = mb_substr(
                $_page,
                0,
                mb_strpos($_page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }
            echo "you can't see it";
            return false;
        }
    }

2.3.2.1:第一部分

$whitelist = ["source"=>"source.php","hint"=>"hint.php"];
if (! isset($page) || !is_string($page)) {
    echo "you can't see it";
    return false;
}

        设置了白名单数组:source.php,hint.php;尝试将这两个文件赋给参数file:

        http://655324d1-2d9d-4368-b055-00747977dfd1.node4.buuoj.cn/?file=source.php

BUUCTF WEB HCTF 2018 WarmUp

         http://655324d1-2d9d-4368-b055-00747977dfd1.node4.buuoj.cn/?file=hint.php

BUUCTF WEB HCTF 2018 WarmUp

         这句话说明flag可能在文件ffffllllaaaagggg中,我们要include ffffllllaaaagggg。

2.3.2.2:第二部分

if (in_array($page, $whitelist)) {
    return true;
}

        若$page的值在数组$whitelist中,则返回true。

2.3.2.3:第三部分

$_page = mb_substr(
    $page,
    0,
    mb_strpos($page . '?', '?')
);
if (in_array($_page, $whitelist)) {
    return true;
}

2.3.2.3.1:mb_substr()

        mb_substr ( string $str , int $start , int $length )        

        mb_substr() 函数从$str的$start字符位置开始,截断$length个字符并返回字符串。$str的第一个字符的位置是 0,第二个字符的位置是 1,以此类推。

        类似substr() 函数,substr() 函数只针对英文字符,如果要分割的中文文字则需要使用 mb_substr()。

2.3.2.3.2:mb_strpos()

        mb_strpos(haystack, needle),查找字符串needle在另一个字符串haystack中首次出现的位置,返回位置(int)。第一个字符的位置是 0,第二个字符的位置是 1,以此类推。

2.3.2.3.3:逻辑解释

        将$page字符串第一个问号?以前的字符串截下来,保存在$_page中,若$_page值为source.php、hint.php则返回true。

2.3.2.3:第四部分

$_page = urldecode($page);
$_page = mb_substr(
    $_page,
    0,
    mb_strpos($_page . '?', '?')
);
if (in_array($_page, $whitelist)) {
    return true;
}

        若要执行第三部分语句,说明第一、二、三部分的if语句条件均为false。第四部分if语句中的$_page经历了如下改变:一次问号截断,一次url解码,一次问号截断。

        注:url传入服务器会自动进行一次urldecode。

               ?的url编码为%3F,双重url编码为%253F。

#第三部分
$_page = mb_substr(
    $page,
    0,
    mb_strpos($page . '?', '?')
);

#第四部分
$_page = urldecode($page);
$_page = mb_substr(
    $_page,
    0,
    mb_strpos($_page . '?', '?')
);

2.3.2.4:如何返回true

        以下三种构造方式均可让emmm::checkFile($_REQUEST['file'])返回true:

        (1)满足第二部分if语句:file=source.php

        (2)满足第三部分if语句:file=source.php?xxxxxxxxx

        (3)满足第四部分if语句:file=source.php%253Fxxxxxxx

        注:source.php可换成hint.php。

2.2:构造参数

        file=source.php?/../../../../ffffllllaaaagggg

        file=source.php%253F/../../../../ffffllllaaaagggg

2.2.1:构造原理

        (1)要满足emmm::checkFile($_REQUEST['file'])返回true

        (2)要include找到文件ffffllllaaaagggg

        (3)../代表返回上级目录

2.2.2:疑惑解释

        疑惑:source.php?/  不是文件目录为何能找到ffffllllaaaagggg?

        解释:include会将source.php?/看做是一个目录,即使它不存在,只要通过几个 ../ 返回上级目录即可。比如 file=source.php?/aaa/bbb/ccc/../../../../../../../ffffllllaaaagggg 依然可行。

上一篇:全局锁和表锁 :给表加个字段怎么有这么多阻碍?


下一篇:vue复制电话号到粘贴板