查看源码找到提示
访问source.php
代码审计:
class emmm{public static function checkFile(&$page){$whitelist = ["source"=>"source.php","hint"=>"hint.php"];定义了一个名为emmm的类,在该类中有一个静态方法checkFile用于检查要包含的文件是否在白名单中,白名单是一个关联数组$whitelist,其中包含了允许包含的文件的键值对。在代码中,允许包含的文件有"source"=>"source.php"和"hint"=>"hint.php"。
if (! isset($page) || !is_string($page)) {echo "you can't see it";return false;}checkFile方法首先检查传入的$page参数是否为字符串类型,如果不是或者未设置,将输出"you can't see it"并返回false。
if (in_array($page, $whitelist)) {return true;}接下来,它检查传入的$page是否直接在白名单中存在,如果存在,返回true。
$_page = mb_substr($page,0,mb_strpos($page . '?', '?'));然后它会对$page参数进行一系列处理:首先使用mb_strpos函数找到$page中第一个问号的位置,然后使用mb_substr函数将问号之前的部分作为$_page进行处理。
注意:这个mb_strpos函数嵌套在了mb_substr函数中,准确说并不叫嵌套,而是将返回值作为了它的一个参数。
说明:符号点 '.' 是 PHP 中的字符串连接运算符,它用于将两个字符串连接在一起,形成一个更长的字符串。在这里,它将 $page 变量的值和一个问号字符 '?' 连接在一起,形成一个新的字符串,在这个新的字符串中查找问号是否存在,那么很明显肯定能找到。
也就是说 in_array() 函数的第三个参数length肯定为正数,又因为in_array() 函数的第二个参数start为0,因此会在字符串中的第一个字符处开始按照length长度进行截取,重新赋值给page。
如果看到这里你没有明白,那么看完后面三个函数的详细介绍你就懂了
下面是关于 substr()、strpos() 和in_array()函数的详细介绍和用法:
(mb_strpos和strpos,substr和mb_substr在功能上几乎没什么区别)
strpos(string,find,start)函数:
返回字符串在另一字符串中第一次出现的位置,如果没有找到字符串则返回 FALSE。注意: 字符串位置是从 0 开始,不是从 1 开始。
| 参数 | 描述 |
|---|---|
| string | 必需。规定被搜索的字符串。 |
| find | 必需。规定要查找的字符。 |
| start | 可选。规定开始搜索的位置。 |
mb_substr(str,start,length,encoding) 函数:
返回字符串的一部分,对于substr() 函数,它只针对英文字符, 而mb_substr()对于中文也适用。
| 参数 | 描述 |
|---|---|
| str | 必需。从该 string 中提取子字符串。 |
| start | 必需。规定在字符串的何处开始。
|
| length | 可选。规定要返回的字符串长度。默认是直到字符串的结尾。
|
| encoding | 可选。字符编码。如果省略,则使用内部字符编码。 |
in_array(search,array,type)函数:
搜索数组中是否存在指定的值,找到值则返回 TRUE,否则返回 FALSE。
| 参数 | 描述 |
|---|---|
| search | 必需。规定要在数组搜索的值。 |
| array | 必需。规定要搜索的数组。 |
| type | 可选。如果设置该参数为 true,则检查搜索的数据与数组的值的类型是否相同。 |
if (in_array($_page, $whitelist)) {return true;}之后再次检查传入的$page是否直接在白名单中存在
$_page = urldecode($page);$_page = mb_substr($_page,0,mb_strpos($_page . '?', '?'));if (in_array($_page, $whitelist)) {return true;}将$_page进行URL解码,并重复之前的处理步骤,如果$_page在白名单中存在,返回true。
如果上述条件都不满足,则输出"you can't see it"并返回false。
if (! empty($_REQUEST['file'])&& is_string($_REQUEST['file'])&& emmm::checkFile($_REQUEST['file'])) {include $_REQUEST['file'];exit;} else {echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";} 检查$_REQUEST['file']是否存在且为字符串类型,并调用emmm::checkFile方法进行检查。如果返回值为true,则通过include语句包含$_REQUEST['file']指定的文件并终止程序执行,否则输出一个图片标签。
先尝试包含hint.php
source.php?file=hint.php
回显成功,flag在ffffllllaaaagggg
注意:我们始终是在source.php页面下进行的传参操作,目的是利用include函数将flag文件包含出来,不要被这里的白名单搞混了。
让我们来分析一下传入这个东西后,php代码是如何进行判断的:
传入file=hint.php,首先检查'hint.php'是否是一个字符串,它是字符串,条件通过;
检查'hint.php'是否在白名单中(白名单包括hint.php和source.php),在,继续执行后面的代码;
对'hint.php'执行mb_substr函数,但是函数内一个参数是来自另一个函数mb_strpos的返回值,因此我们先看mb_strpos函数,使用.进行字符连接,即连接了一个问号字符 '?',得到hint.php?
然后查找'?'在字符串'hint.php?'中第一次出现的位置,从0开始算,返回8,即length=8
接下来我们执行mb_substr函数,即 mb_substr('hint.php',0,8)
从字符串中的第一个字符处开始,返回8个字符,其实还是返回的hint.php;
然后对返回的内容进行url解码,重复执行上面的检查和截取操作。
我们只需要传入一个在白名单内的文件名(source.php或者hint.php),并添加上问号,这样可以保证每次找去用于检查的内容都在白名单,返回true。
构造payload:
source.php?file=hint.php?/../../../../ffffllllaaaagggg或者用
source.php?file=source.php?/../../../../ffffllllaaaagggg
关于payload的解释:
因为我们当前的source.php一般是在html目录下,往上是www,var,然后到根目录,flag一般就放在根目录下面,这里还有一个hint.php?/或者source.php?/,因此需要返回四层才能到根目录。
拿到 flag{bc7e048e-19a6-4464-96b6-2d1569696875}
