刷题[HCTF 2018]WarmUp

解题思路

进入页面之后,一个大大的滑稽。

查看源码

查看源码发现有source.php 。打开

发现还有一个hint.php。打开发现

由此可知是代码审计了

解题

代码审计


先看此段代码,大致意思是。如果提交过来的file不是空的,并且是字符串,经过了emmm类中,checkFile函数的过滤。那么就执行包含文件。由此可知可能存在文件包含,目录穿越的漏洞。而要包含的就是ffffllllaaaagggg。
现在看如何绕过过滤

主要看这段代码,这段代码的意思是
获取传入的参数位数,然后截取前该位数的字符。
举个例子,传入参数是flag.php,首先经过mb_strpos获取位数,为8.然后经过mb_substr截取flag.php的前八位,也就是flag.php。
然后需要该参数在白名单里,也就是截取第一个?后的值为hint.php或source.php
然后经过url解码后再进行一次过滤,如果最后返回真,即可包含文件

文件包含

payload:?file=source.php%253F../../../../../ffffllllaaaagggg

确保url解码后能通过白名单。浏览器会解码一次,所以?二次编码,%253F,这里是php的一个特性:

?两次编码可以实现跨目录,#二次编码也可以

$page经过两次解码 $_page=source.php?../../../../../ffffllllaaaagggg
经过函数截取?前的内容,source.phph可通过白名单检验,然后通过此include $_REQUEST['file']
实现文件包含,因为source.php也被解析为目录,通过目录穿越即可到达,获得flag

总结思路

核心思路:

  • 查看源码得知本题考点为代码审计,文件包含,目录穿越
  • 确定获得flag值通过文件包含,本题共有四个可有true返回的条件,构造一个满足的条件即可
  • php将二次编码的?前的内容视为目录

知识点

  • 代码审计
  • 目录穿越
  • 文件包含
posted @ 2020-04-13 11:02  kar3a  阅读(1155)  评论(0编辑  收藏  举报