[HCTF 2018]WarmUp （代码审计）

打开题目：

好好好。

看看源码：

？ source.php

让我看看！

发现还有个文件叫hint,php

看看：

得到目的文件是ffffllllaaaagggg

分析代码：
 

$_REQUEST

        变量 $_REQUEST用于收集HTML表单提交的数据，默认情况下包含了$_GET，$_POST和$_COOKIE的数组。

        GET是从服务器上获取数据，GET是把参数数据队列加到提交表单的ACTION属性所指的URL中，值和表单内各个字段一一对应，在URL中可以看到。

        POST是向服务器传送数据，POST是通过HTTP POST机制，将表单内各个字段与其内容放置在HTML HEADER内一起传送到ACTION属性所指的URL地址，用户看不到这个过程。

        通过POST和GET方法提交的所有数据都可以通过$_REQUEST["参数"]获得。

empty()

        empty(var) 函数用于检查一个变量是否为空，当 变量var 存在，并且是一个非空非零的值时返回 FALSE 否则返回 TRUE。

is_string()

        is_string(var)检测变量是否是字符串，如果var是字符串则返回true，否则返回false。

include

        include语句包含并运行指定文件。

文件查找过程：

        1、被包含文件先按参数给出的路径寻找。

        2、如果没有给出目录（只有文件名）时则按照include_path指定的目录寻找。

        3、如果在include_path下没找到该文件，则include最后才在调用脚本文件所在的目录和当前工作目录下寻找。

        4、如果最后仍未找到文件则include会发出一条警告。

逻辑结构

        传入的file参数需满足以下3个条件，才可包含并运行file：

        （1）不为空。

        （2）为字符串。

        （3）emmm::checkFile($_REQUEST['file']) 返回 true，也就是必须在白名单里。

函数作用：
mb_substr： 获取部分字符串。
mb_strpos： 查找字符串在另一个字符串中首次出现的位置。
in_array($needle, $haystack)：needle待搜索值，haystack待搜索数组。

两种方法：
 

NO.1：
我们可以采用的方法就是构造payload?file=hint.php?../../../../../../ffffllllaaaagggg，利用第二个if进行绕过，使checkFlie返回真值，从而包含我们的ffffllllaaaagggg文件得出flag

NO.2：
我们可以通过对?进行二次编码从而绕过p a g e = u r l d e c o d e ( _page = urldecode( 
page=urldecode(page)
?file=hint.php%253f../../../../../ffffllllaaaagggg
原理如下：在我们将参数传给file时，服务器端会自动进行一次url解码，然后这里还有个urldecode再进行一次解码。共两次解码，所以我们可以使用两次编码进行绕过urldecode，?一次url编码%3f，二次url编码%253f。然后就是第一种方法中。

就得到了flag。