攻防世界——warmup

进入页面发现一个大的滑稽脸,查看源代码,发现提示source.php
在这里插入图片描述
进入该页面,进行代码审计,又发现一个hint.php页面,进入发现提示
在这里插入图片描述
表明 flag 在这个文件中,且这个文件名暗示要使用四层目录

继续审计代码
攻防世界——warmup_第1张图片
发现满足三个条件,会包含并运行指定文件file,此处的file可以由我们构造,为切入点:

  1. 检查file变量是否为空
  2. 检查file变量是否为字符串
  3. 通过自定义的checkFile函数来检查

由于我们要构造payload,前两点直接满足,直接查看checkFile函数代码:
攻防世界——warmup_第2张图片
发现包含四个if语句:

  1. 第一个 if 语句对变量进行检验,要求$page为字符串,否则返回 false
  2. 第二个 if 语句判断$page是否存在于$whitelist数组中,存在则返回 true
  3. 第三个 if 语句,截取传进参数中首次出现?之前的部分,判断该部分是否存在于$whitelist数组中,,存在则返回 true
  4. 第四个 if 语句,先对构造的 payload 进行 url 解码,再截取传进参数中首次出现?之前的部分,并判断该部分是否存在于$whitelist中,存在则返回 true

以上四个满足一个即可返回 true,若均未满足,则返回 false

我们利用第三个 if 语句构造参数:
?file=source.php?/../../../../ffffllllaaaagggg
第一个?表示传参,第二个?用来满足截取

  1. 为什么include source.php(或hint.php)?/../../../../ffffllllaaaagggg能执行成功
    攻防世界——warmup_第3张图片
    因为我们的参数是有/../../../../这样的路径,所以符合最后一段话如果定义了路径,就会忽略/前的字符串而去找/../../../../ffffllllaaaagggg这个文件
  2. 网上大多数 writeup 用到的 url 编码绕过发现并没有用到,这一方法的思路是将?进行两次 url 编码,变为%253f在服务器端提取参数时自动解码一次checkFile函数中解码一次,仍会解码为?,可以绕过第四个 if ,但是实测只编码一次也可以得到 flag

你可能感兴趣的:(CTF)