BUUCTF-web warmup wp

首先认真阅读题目,一般题目信息有提示,有些还会有隐藏信息

在这里插入图片描述
题目名是“warm up”,热身?,看来没什么用。下面有提示我们这一题的主要知识点是php和代码审计,淦!发现都没学过,不过不要紧,不会我们可以百度啊!!!

打开链接

在这里插入图片描述
看到一张滑稽的表情,肯定不简单,直接f12查看源代码。

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <meta http-equiv="X-UA-Compatible" content="ie=edge">
    <title>Document</title>
</head>
<body>
    <!--source.php-->
    
    <br><img src="https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg" /></body>
</html>

发现好像没有什么有用的信息。。。卡在这里了。
不要慌,我们赶快百度一手,发现原来奥秘藏在这个<!--source.php-->中,但是百度到的wp叫我直接查看source.php的源代码,这可把我整蒙了,好家伙!你倒是告诉我怎么查看啊。

不过没关系,这个wp不详细,我就再找一个,终于懂得了只需要将它(指<!--source.php-->)复制下来,然后在我们这个web题的链接后面加一个 / 然后粘贴这串source.php就好了,如下图所示:在这里插入图片描述
嗖嘎,原来如此,技能点+1

然后按下回车进入另一个网页

<?php
    highlight_file(__FILE__);
    class emmm
    {
        public static function checkFile(&$page)
        {
            $whitelist = ["source"=>"source.php","hint"=>"hint.php"];
            if (! isset($page) || !is_string($page)) {
                echo "you can't see it";
                return false;
            }

            if (in_array($page, $whitelist)) {
                return true;
            }

            $_page = mb_substr(
                $page,
                0,
                mb_strpos($page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }

            $_page = urldecode($page);
            $_page = mb_substr(
                $_page,
                0,
                mb_strpos($_page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }
            echo "you can't see it";
            return false;
        }
    }

    if (! empty($_REQUEST['file'])
        && is_string($_REQUEST['file'])
        && emmm::checkFile($_REQUEST['file'])
    ) {
        include $_REQUEST['file'];
        exit;
    } else {
        echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
    }  
?>

简单地浏览一遍,好家伙,大部分看不懂! 不过一行代码引起了我的注意:

$whitelist = ["source"=>"source.php","hint"=>"hint.php"];

又出现了一个hint.php,前面还是刚刚的知识点source.php,总感觉有关联。
二话不说,直接复制一遍刚刚的操作,将hint.php粘贴到本网页链接的末尾,在前面加一个斜杠,enter!

又进入了另一个网站

里面只有一句话“flag not here, and flag in ffffllllaaaagggg”。
思路到这里又断了,算了,先保留这个吧,再回到之前那个网页看看还有没有有用的信息吧。

回到刚刚那个网页

只能啃这一大段代码了,发现几乎看不懂(没学过当然看不懂了!),直接看别人的wp,发现这段代码大概是这个意思:

?php
    highlight_file(__FILE__);
    class emmm
    {
        public static function checkFile(&$page)
        {
            $whitelist = ["source"=>"source.php","hint"=>"hint.php"];
            //设置白名单为source.php和hint.php

            if (! isset($page) || !is_string($page)) {
            //检查时候存在$page    是否为字符串
                echo "you can't see it";
                return false;
            }

            if (in_array($page, $whitelist)) {
            //检查$page是否在白名单中
                return true;
            }

            $_page = mb_substr(
            //mb_substr截取目标字符串的位置
                $page,
                0,
                mb_strpos($page . '?', \'?')
                //mb_strpos返回首次出现?的位置
            );
            //截取$page中?前面的字符

            if (in_array($_page, $whitelist)) {
            //检查截取$page中?前面的字符是否在白名单
                return true;
            }

            $_page = urldecode($page);
            //$page进行url解码

            $_page = mb_substr(
                $_page,
                0,
                mb_strpos($_page . '?', '?')
            );
            //截取url解码后$page的?前面字符串

            if (in_array($_page, $whitelist)) {
            //检查截取url解码后$page的?前面字符串是否在白名单里
                return true;
            }
            echo "you can\'t see it";
            return false;
        }
    }
//关键代码
    if (! empty($_REQUEST['file'])  //file不为空
        && is_string($_REQUEST['file']) //file为一个字符串
        && emmm::checkFile($_REQUEST['file'])   //返回值为真
    ) {
        include $_REQUEST['file'];
        exit;
    } else {
        echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
    }  //输入正确则保存flag到参数file,否则展示滑稽图片
?>

来来来,看看大神的分析:
粗略的看了一下整体代码,发现是白名单验证,文件包含只能包含source.php和hint.php
看下主要的,首先file不能为空,file必须是字符串,还要通过checkFile()函数的检查,才能够包含。
检查还有三次,第三次经过了url解码,感觉有点问题,可是这个得怎么绕啊!!!百度启动!!!
经过查阅不少资料,得到这是phpmyadmin 4.8.1的一个远程文件包含的漏洞!!!!
既然如此,那就一步一步来分析一下checkFile()函数:

首先设置了一个白名单,只包含source.php和hint.php,第一个if检查是否存在$page并且是否为字符串。
检查$page是否在白名单中,是的话返回true。接下来,两个函数一个mb_substr和mb_strpos,总的意思就是截取变量page中?前面的字符串,然后再进行白名单校验。
考虑了URL编码的缘故,再一次解码之后,进行校验。

分析完代码后就可以开始构造payload了,传递一个参数file=source.php?/../../../../../../ffffllllaaaagggg,目录穿越,当然还要把?进行两次url编码,所以最后的payload为file=source.php%253f/../../../../../../ffffllllaaaagggg,首先,第一次验证肯定过不了,第二次截取完也过不了,第三次,经过url解码之后,我们构造的payload就变成了source.php?/../../../../../../ffffllllaaaagggg,很显然,它是截取?前面的进行校验,我们这的source.php在白名单中,所以返回true,最后通过目录穿越的到ffffllllaaaagggg里面的内容,也就是flag。
在这里插入图片描述

啊这……大神不愧是大神,我还是慢慢学吧!