WEB:warmup

背景知识

        文件包含

        目录遍历

        代码审计

题目

打开链接后只有一张图片

 

f12和查看源代码都试一下，查看源代码发现如下图

访问一下source.php，有如下代码，进行代码审计

"source.php","hint"=>"hint.php"]; #白名单
            if (! isset($page) || !is_string($page)) { #isset()判断是否为空为空-true不为空-false is_string 判断是否是字符串 是则为true，否则为false
                echo "you can't see it";
                return false;
            }
 
            if (in_array($page, $whitelist)) { #inarray()检测$page在不在$whitelist中，在为true，否则为false
                return true;
            }
 
            $_page = mb_substr( #mb_stustr截取字符串  mb_strpos查找字符串
                $page, 
                0,
                mb_strpos($page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }
 
            $_page = urldecode($page); #进行一次url解码
            $_page = mb_substr(
                $_page,
                0,
                mb_strpos($_page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }
            echo "you can't see it";
            return false;
        }
    }
 
    if (! empty($_REQUEST['file'])
        && is_string($_REQUEST['file'])
        && emmm::checkFile($_REQUEST['file'])
    ) {
        include $_REQUEST['file']; #动态包含 include语句包含并运行指定文件
        #如果定义了路径一-- 不管是绝对路径(在Windows下以盘符或者| 开头，在Unix/Linux下以/开头)还是当前目录的相对路径(以. 或者…开头) 
        #--include_ path 都会被完全忽略。例如一个文件以.开头，则解析器会在当前目录的父目录下寻找该文件。
        exit;
    } else {
        echo "
";
    }  

 从以上代码可知：

1. 漏洞利用点是include命令了，会包含传进来的file参数，但是它会对file参数中?之前的字符串进行限制

2. hint.php也在白名单中，可以访问该文件看是否存在什么有效的信息

先访问hint.php

利用文件包含漏洞进行处理，构造payload，注意这里ffffllllaaaagggg暗示了flag所在文件相对于当前目录需要穿越的层数，如果构造payloadfile=source.php?ffffllllaaaagggg，发现并没有flag显示出来

构造payload如下

/source.php?file=source.php?../../../../../ffffllllaaaagggg

 找到flag

参考学习链接： 

攻防世界-warmup详解_攻防世界warmup_sxmmmmmmm的博客-CSDN博客

攻防世界-web-warmup_攻防世界warmup_wuh2333的博客-CSDN博客