考点:PHP代码审计
抓包发现source.php,访问下,出现了php代码
代码主体在这部分,满足三个条件:file不为空&file是字符串&checkFile通过
if (! empty($_REQUEST['file'])
&& is_string($_REQUEST['file'])
&& emmm::checkFile($_REQUEST['file'])
) {
include $_REQUEST['file'];
exit;
} else {
echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
}
然后就要读懂这个checkfile()的代码逻辑 ,然后进行绕过:
1、in_array(value,array,type):检查数组中是否存在某个值
value 必需。规定要在数组搜索的值。
array 必需。规定要搜索的数组。
搜索page中是否在whitelist,存在返回true,但page不能为空且要为字符串
$whitelist = ["source"=>"source.php","hint"=>"hint.php"];
if (! isset($page) || !is_string($page)) {
echo "you can't see it";
return false;
}
if (in_array($page, $whitelist)) {
return true;
}
whitelist 表示白名单包含source.php和hint.php,再访问hint.php看看,说flag在ffffllllaaaagggg里面
$whitelist = ["source"=>"source.php","hint"=>"hint.php"];
2、搜索_page中是否在whitelist,存在返回true
_page截取的是page从第0位到?出现的位置
$_page = mb_substr(
$page,
0,
mb_strpos($page . '?', '?')
);
if (in_array($_page, $whitelist)) {
return true;
}
mb_substr( $str, $start, $length, $encoding ) 截断函数
$str,需要截断的字符串
$start,截断开始处
$length,长度(1就代表一个中文字符)
$encoding,编码,我设为 utf-8
mb_strpos (haystack ,needle )查找字符串needle在字符串haystack中首次出现的位置
3、_page为urldecode后的page,然后截取_page在?前的字符串赋值给_page,最后判断_page是否在whitelist中,是就返回true
$_page = urldecode($page);
$_page = mb_substr(
$_page,
0,
mb_strpos($_page . '?', '?')
);
if (in_array($_page, $whitelist)) {
return true;
}
echo "you can't see it";
return false;
最后构造的payload是/?file=source.php?../../../../../ffffllllaaaagggg,或者source换成hint文章来源:https://www.toymoban.com/news/detail-524423.html
以上分析了一通 其实我还是有点懵。。。文章来源地址https://www.toymoban.com/news/detail-524423.html
到了这里,关于CTP WEB 100练(1/100)的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!