目录

1.代码审计：

2.逻辑分析

3.总结分析

4.分析记录

5.疑点解答

---

1.代码审计：

<?phphighlight_file(__FILE__);class emmm                          //定义了一个类{public static function checkFile(&$page)          类里面又申明创建了一个函数{$whitelist = ["source"=>"source.php","hint"=>"hint.php"]; //创建了一个白名单字典，在php当中字典就是一种具有映射关系的数组。if (! isset($page) || !is_string($page)) {    //如果没有设置page的值或者说page不是字符串，那么就return 为假echo "you can't see it";                    return false;}if (in_array($page, $whitelist)) {   //使用in_array函数，判断某个元素是否在数组当中，这里是字典的话，就是判断某个值是否在数组当中存在，注意，字典只会判断某个值//是否在字典当中存在，也就是说查找的是值，而不是键				return true;                     //返回真}$_page = mb_substr(              //mb_substr和substr的功能大致都是一致的，用来截取子串，但是mb有个特点就是，它可以指定字符编码，在处理非英文字符时会比较好//substr(主串,start,length) ，start为开始下标，从0开始$page,0,mb_strpos($page . '?', '?')       //strpos用来查找指定字符在主串当中第一次出现的下标位置，strpos(主串,要查找的字符,可选参数，起始下标));if (in_array($_page, $whitelist)) {return true;                     //返回真}$_page = urldecode($page);          //url解码之后的参数赋值给一个新的变量$_page = mb_substr($_page,                       0,mb_strpos($_page . '?', '?')        // 先把原有的参数和？进行拼接，再查找？的序号);if (in_array($_page, $whitelist)) {       判断page的值是否在whilelist这个字典的值当中存在，注意是只查找值不是键return true;                       // return 真}echo "you can't see it";return false;                        //否则返回假}}if (! empty($_REQUEST['file'])                  //主题部分，通过file传递参数非空并且file的值为字符串并且对file调用上面类中的方法返回值为真//这三个条件同时满足，才会进入到下一步&& is_string($_REQUEST['file'])&& emmm::checkFile($_REQUEST['file'])) {include $_REQUEST['file'];            //把传入的字符串进行文件包含，include函数会把一个文件包含进来并且执行就是说我们要传递的file是一个文件名或者说是服务器当中的一个文件路径更加准确，然后这里会把它//就是说我们要传递的file是一个文件名或者说是服务器当中的一个文件路径更加准确，然后这里会把它exit;								//进行包含进来。本题的关键就是在这里，就是通过传递文件名，进行文件包含，包含存在flag的文件，那么我们就可以得到flag了} else {echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";}  
?>   

2.逻辑分析

我们通过在get请求当中构造file参数，参数得是字符串，还要满足check函数，才会执行下面的内容，把文件给包含执行进来
根据提示 找到flag信息  但是直接访问不行 因为进入到check函数会执行到最后返回flase

所以说给的flag信息路径应该不是直接访问的，应该存在着某种相对路径

但是我们构造的路径当中还要包含白名单当中的内容才可以返回true
check函数有很多种可能会返回真值，所以要进行构造
但是直接拼接../../../不行 不满足true
所以在前面加上source试试还是不行，考虑他这里check函数会在尾部拼接问号，但是直接在尾部拼接问号在结合strpos和substr得到的还是原来的字符串
每一个if都会判断是不是在白名单当中，必须要在白名单当中才会返回true ，又因为他有strpos函数去定位？的位置再去截取之后再判断
所以我们可以构造一个？ 使得它在被截取之后是白名单的内容
所以 尝试自己构造问号  source.php？../../ffffllllaaaagggg

这样的话再执行check函数的时候
这里可以返回true

3.总结分析

涉及到的代码审计，而且比较考验思维，还有就是要熟悉php的常见函数

4.分析记录

 <?php
    highlight_file(__FILE__);
    class emmm                          //定义了一个类
    {
        public static function checkFile(&$page)          类里面又申明创建了一个函数
        {
            $whitelist = ["source"=>"source.php","hint"=>"hint.php"]; //创建了一个白名单字典，在php当中字典就是一种具有映射关系的数组。
            if (! isset($page) || !is_string($page)) {    //如果没有设置page的值或者说page不是字符串，那么就return 为假
            
                echo "you can't see it";                    
                return false;
            }

            if (in_array($page, $whitelist)) {   //使用in_array函数，判断某个元素是否在数组当中，这里是字典的话，就是判断某个值是否在数组当中存在，注意，字典只会判断某个值
                                                //是否在字典当中存在，也就是说查找的是值，而不是键                
                return true;                     //返回真
            }

            $_page = mb_substr(              //mb_substr和substr的功能大致都是一致的，用来截取子串，但是mb有个特点就是，它可以指定字符编码，在处理非英文字符时会比较好
                                             //substr(主串,start,length) ，start为开始下标，从0开始
                $page,
                0,
                mb_strpos($page . '?', '?')       //strpos用来查找指定字符在主串当中第一次出现的下标位置，strpos(主串,要查找的字符,可选参数，起始下标)
            );
            if (in_array($_page, $whitelist)) {
                return true;                     //返回真
            }

            $_page = urldecode($page);          //url解码之后的参数赋值给一个新的变量
            $_page = mb_substr(
                $_page,                       
                0,
                mb_strpos($_page . '?', '?')        // 先把原有的参数和？进行拼接，再查找？的序号
            );
            if (in_array($_page, $whitelist)) {       判断page的值是否在whilelist这个字典的值当中存在，注意是只查找值不是键
                return true;                       // return 真
            }
            echo "you can't see it";
            return false;                        //否则返回假
        }
    }

    if (! empty($_REQUEST['file'])                  //主题部分，通过file传递参数非空并且file的值为字符串并且对file调用上面类中的方法返回值为真
                                                   //这三个条件同时满足，才会进入到下一步
        && is_string($_REQUEST['file'])
        && emmm::checkFile($_REQUEST['file'])
    ) {
        include $_REQUEST['file'];            //把传入的字符串进行文件包含，include函数会把一个文件包含进来并且执行就是说我们要传递的file是一个文件名或者说是服务器当中的一个文件路径更加准确，然后这里会把它
        //就是说我们要传递的file是一个文件名或者说是服务器当中的一个文件路径更加准确，然后这里会把它
         exit;                                //进行包含进来。本题的关键就是在这里，就是通过传递文件名，进行文件包含，包含存在flag的文件，那么我们就可以得到flag了
    } else {
        echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
    }  
?>  

5.疑点解答

我相信很多人和我会有一个疑问，就是明明page当中有一个问号，那么在文件包含的时候是怎样包含到后面的内容的呢。

我也想了好久，最后了解到一个php当中include、require函数在进行文件包含的时候，有这样一个规则：在PHP中，当使用include函数引入文件时，如果文件路径中包含查询字符串，PHP会忽略查询字符串部分，只解析文件路径部分。 那什么是参数当中的路径部分呢？就是只包括文件名称和路径分隔符，或者由他们组成的整体，如果有问号？那么就在？后面查找文件路径，问号就是查询字符串，也就是说只会查找符合格式的文件路径。