标签：WEB BUUCTF mb HCTF source file 2.3 php page

1：题目

2：解题

2.1：查看源码

        按F12发现提示：<!--source.php-->

2.2：尝试打开source.php

        http://f25ece33-0891-47a1-b89a-eefac33b2f4f.node4.buuoj.cn/source.php

        得到代码：

2.3：解析代码

2.3.1：代码正文解析   

if (! empty($_REQUEST['file'])
      && is_string($_REQUEST['file'])
      && emmm::checkFile($_REQUEST['file'])
   ) {
      include $_REQUEST['file'];
      exit;
   } else {
      echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
   }  

2.3.1.1：$_REQUEST

        变量 $_REQUEST用于收集HTML表单提交的数据，默认情况下包含了$_GET，$_POST和$_COOKIE的数组。

        GET是从服务器上获取数据，GET是把参数数据队列加到提交表单的ACTION属性所指的URL中，值和表单内各个字段一一对应，在URL中可以看到。

        POST是向服务器传送数据，POST是通过HTTP POST机制，将表单内各个字段与其内容放置在HTML HEADER内一起传送到ACTION属性所指的URL地址，用户看不到这个过程。

        通过POST和GET方法提交的所有数据都可以通过$_REQUEST["参数"]获得。

2.3.1.2：empty()

        empty(var) 函数用于检查一个变量是否为空，当 变量var 存在，并且是一个非空非零的值时返回 FALSE 否则返回 TRUE。

2.3.1.3：is_string()

        is_string(var)检测变量是否是字符串，如果var是字符串则返回true，否则返回false。

2.3.1.4：include

        include语句包含并运行指定文件。

        文件查找过程：

        1、被包含文件先按参数给出的路径寻找。

        2、如果没有给出目录（只有文件名）时则按照include_path指定的目录寻找。

        3、如果在include_path下没找到该文件，则include最后才在调用脚本文件所在的目录和当前工作目录下寻找。

        4、如果最后仍未找到文件则include会发出一条警告。

2.3.1.5：逻辑结构

        传入的file参数需满足以下3个条件，才可包含并运行file：

        （1）不为空

        （2）为字符串

        （3）emmm::checkFile($_REQUEST['file']) 返回 true

2.3.2：类emmm解析

class emmm
    {
        public static function checkFile(&$page)
        {
            $whitelist = ["source"=>"source.php","hint"=>"hint.php"];
            if (! isset($page) || !is_string($page)) {
                echo "you can't see it";
                return false;
            }

            if (in_array($page, $whitelist)) {
                return true;
            }

            $_page = mb_substr(
                $page,
                0,
                mb_strpos($page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }

            $_page = urldecode($page);
            $_page = mb_substr(
                $_page,
                0,
                mb_strpos($_page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }
            echo "you can't see it";
            return false;
        }
    }

2.3.2.1：第一部分

$whitelist = ["source"=>"source.php","hint"=>"hint.php"];
if (! isset($page) || !is_string($page)) {
    echo "you can't see it";
    return false;
}

        设置了白名单数组：source.php，hint.php；尝试将这两个文件赋给参数file：

        http://655324d1-2d9d-4368-b055-00747977dfd1.node4.buuoj.cn/?file=source.php

         http://655324d1-2d9d-4368-b055-00747977dfd1.node4.buuoj.cn/?file=hint.php

         这句话说明flag可能在文件ffffllllaaaagggg中，我们要include ffffllllaaaagggg。

2.3.2.2：第二部分

if (in_array($page, $whitelist)) {
    return true;
}

        若$page的值在数组$whitelist中，则返回true。

2.3.2.3：第三部分

$_page = mb_substr(
    $page,
    0,
    mb_strpos($page . '?', '?')
);
if (in_array($_page, $whitelist)) {
    return true;
}

2.3.2.3.1：mb_substr()

        mb_substr ( string $str , int $start , int $length )        

        mb_substr() 函数从$str的$start字符位置开始，截断$length个字符并返回字符串。$str的第一个字符的位置是 0，第二个字符的位置是 1，以此类推。

        类似substr() 函数，substr() 函数只针对英文字符，如果要分割的中文文字则需要使用 mb_substr()。

2.3.2.3.2：mb_strpos()

        mb_strpos(haystack, needle)，查找字符串needle在另一个字符串haystack中首次出现的位置，返回位置(int)。第一个字符的位置是 0，第二个字符的位置是 1，以此类推。

2.3.2.3.3：逻辑解释

        将$page字符串第一个问号?以前的字符串截下来，保存在$_page中，若$_page值为source.php、hint.php则返回true。

2.3.2.3：第四部分

$_page = urldecode($page);
$_page = mb_substr(
    $_page,
    0,
    mb_strpos($_page . '?', '?')
);
if (in_array($_page, $whitelist)) {
    return true;
}

        若要执行第三部分语句，说明第一、二、三部分的if语句条件均为false。第四部分if语句中的$_page经历了如下改变：一次问号截断，一次url解码，一次问号截断。

        注：url传入服务器会自动进行一次urldecode。

               ?的url编码为%3F，双重url编码为%253F。

#第三部分
$_page = mb_substr(
    $page,
    0,
    mb_strpos($page . '?', '?')
);

#第四部分
$_page = urldecode($page);
$_page = mb_substr(
    $_page,
    0,
    mb_strpos($_page . '?', '?')
);

2.3.2.4：如何返回true

        以下三种构造方式均可让emmm::checkFile($_REQUEST['file'])返回true：

        （1）满足第二部分if语句：file=source.php

        （2）满足第三部分if语句：file=source.php?xxxxxxxxx

        （3）满足第四部分if语句：file=source.php%253Fxxxxxxx

        注：source.php可换成hint.php。

2.2：构造参数

        file=source.php?/../../../../ffffllllaaaagggg

        file=source.php%253F/../../../../ffffllllaaaagggg

2.2.1：构造原理

        （1）要满足emmm::checkFile($_REQUEST['file'])返回true

        （2）要include找到文件ffffllllaaaagggg

        （3）../代表返回上级目录

2.2.2：疑惑解释

        疑惑：source.php?/  不是文件目录为何能找到ffffllllaaaagggg？

        解释：include会将source.php?/看做是一个目录，即使它不存在，只要通过几个 ../ 返回上级目录即可。比如 file=source.php?/aaa/bbb/ccc/../../../../../../../ffffllllaaaagggg 依然可行。

标签：WEB,BUUCTF,mb,HCTF,source,file,2.3,php,page
来源： https://blog.csdn.net/Ethan552525/article/details/118652415

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。