buuoj中的第一题：[HCTF 2018]WarmUp

打开题目页面
右键查看源码，发现提示source.php,转到source.php发现源码

<?php
highlight_file(__FILE__);
class emmm
{
public static function checkFile(&$page)
{
$whitelist = ["source"=>"source.php","hint"=>"hint.php"];
if (! isset($page) || !is_string($page)) {
echo "you can't see it";
return false;
}if (in_array($page, $whitelist)) {
return true;
}

$_page = mb_substr(
$page,
0,
mb_strpos($page . '?', '?')
);
if (in_array($_page, $whitelist)) {
return true;
}

$_page = urldecode($page);
$_page = mb_substr(
$_page,
0,
mb_strpos($_page . '?', '?')
);
if (in_array($_page, $whitelist)) {
return true;
}
echo "you can't see it";
return false;}}

if (! empty($_REQUEST['file'])
&& is_string($_REQUEST['file'])
&& emmm::checkFile($_REQUEST['file'])
) {
include $_REQUEST['file'];
exit;
} else {
echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
}?>

上面是一个类（没学过PHP，大同小异嘛）
下面有个判断

if (! empty($_REQUEST['file'])
&& is_string($_REQUEST['file'])
&& emmm::checkFile($_REQUEST['file'])
) {
include $_REQUEST['file'];
exit;
} else {
echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
}

只要通过这个判断就会执行file传递的参数的文件，想到可能时任意文件包含。

通过引入文件时，引用的文件名，用户可控，由于传入的文件名没有经过合理的校验，或者检验被绕过，从而操作了预想之外的文件，就可能导致意外的文件泄露甚至恶意的代码注入。

再看if中的判断，file参数不为空&&是个字符串&&通过checkFile方法的检验。去看checkFIle方法。

public static function checkFile(&$page)
{
$whitelist = ["source"=>"source.php","hint"=>"hint.php"];
if (! isset($page) || !is_string($page)) {
echo "you can't see it";
return false;
}if (in_array($page, $whitelist)) {
return true;
}

$_page = mb_substr(
$page,
0,
mb_strpos($page . '?', '?')
);
if (in_array($_page, $whitelist)) {
return true;
}

$_page = urldecode($page);
$_page = mb_substr(
$_page,
0,
mb_strpos($_page . '?', '?')
);
if (in_array($_page, $whitelist)) {
return true;
}
echo "you can't see it";
return false;}

这里逻辑也不是很复杂。
首先看到了提示的白名单，去看看hint.php

验证了猜想，任意文件包含漏洞。

checkFIle中有白名单，source.php和hint.php。
下面又是很多条件限制。一步一步看。

$whitelist = ["source"=>"source.php","hint"=>"hint.php"];
if (! isset($page) || !is_string($page)) {
echo "you can't see it";
return false;
}

首先必须存在并且是字符串（必须使函数返回为true才能访问文件）

if (in_array($page, $whitelist)) {
return true;
}

$_page = mb_substr(
$page,
0,
mb_strpos($page . '?', '?')
);
if (in_array($_page, $whitelist)) {
return true;
}

$_page = urldecode($page);
$_page = mb_substr(
$_page,
0,
mb_strpos($_page . '?', '?')
);
if (in_array($_page, $whitelist)) {
return true;
}
echo "you can't see it";
return false;

然后判断参数是否在白名单中；
mb_strpos()查找字符串在另一个字符串中首次出现的位置,即？在前面字符串中出现的位置
mb_substr()方法截断字符串。
然后和白名单比较。
又重复了一次上面的操作。
这个涉及到phpMyAdmin的一个洞CVE-2018-12613，由于PHP会自动urldecode一次，导致我们提交%253f（?的urlencode的urlencode）的时候自动转成%3f，满足if条件，%253f/就会被认为是一个目录，从而include。

? --> %3f --> %253f
payload: file=hint.php%253f/…/…/…/…/…/…/…/ffffllllaaaagggg
目录需要多跳出几次，慢慢尝试。

• 点赞
• 收藏
• 分享
• 文章举报