目录
1.代码审计:
2.逻辑分析
3.总结分析
4.分析记录
5.疑点解答
1.代码审计:
<?phphighlight_file(__FILE__);class emmm //定义了一个类{public static function checkFile(&$page) 类里面又申明创建了一个函数{$whitelist = ["source"=>"source.php","hint"=>"hint.php"]; //创建了一个白名单字典,在php当中字典就是一种具有映射关系的数组。if (! isset($page) || !is_string($page)) { //如果没有设置page的值或者说page不是字符串,那么就return 为假echo "you can't see it"; return false;}if (in_array($page, $whitelist)) { //使用in_array函数,判断某个元素是否在数组当中,这里是字典的话,就是判断某个值是否在数组当中存在,注意,字典只会判断某个值//是否在字典当中存在,也就是说查找的是值,而不是键 return true; //返回真}$_page = mb_substr( //mb_substr和substr的功能大致都是一致的,用来截取子串,但是mb有个特点就是,它可以指定字符编码,在处理非英文字符时会比较好//substr(主串,start,length) ,start为开始下标,从0开始$page,0,mb_strpos($page . '?', '?') //strpos用来查找指定字符在主串当中第一次出现的下标位置,strpos(主串,要查找的字符,可选参数,起始下标));if (in_array($_page, $whitelist)) {return true; //返回真}$_page = urldecode($page); //url解码之后的参数赋值给一个新的变量$_page = mb_substr($_page, 0,mb_strpos($_page . '?', '?') // 先把原有的参数和?进行拼接,再查找?的序号);if (in_array($_page, $whitelist)) { 判断page的值是否在whilelist这个字典的值当中存在,注意是只查找值不是键return true; // return 真}echo "you can't see it";return false; //否则返回假}}if (! empty($_REQUEST['file']) //主题部分,通过file传递参数非空并且file的值为字符串并且对file调用上面类中的方法返回值为真//这三个条件同时满足,才会进入到下一步&& is_string($_REQUEST['file'])&& emmm::checkFile($_REQUEST['file'])) {include $_REQUEST['file']; //把传入的字符串进行文件包含,include函数会把一个文件包含进来并且执行就是说我们要传递的file是一个文件名或者说是服务器当中的一个文件路径更加准确,然后这里会把它//就是说我们要传递的file是一个文件名或者说是服务器当中的一个文件路径更加准确,然后这里会把它exit; //进行包含进来。本题的关键就是在这里,就是通过传递文件名,进行文件包含,包含存在flag的文件,那么我们就可以得到flag了} else {echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";}
?>
2.逻辑分析
我们通过在get请求当中构造file参数,参数得是字符串,还要满足check函数,才会执行下面的内容,把文件给包含执行进来
根据提示 找到flag信息 但是直接访问不行 因为进入到check函数会执行到最后返回flase
所以说给的flag信息路径应该不是直接访问的,应该存在着某种相对路径
但是我们构造的路径当中还要包含白名单当中的内容才可以返回true
check函数有很多种可能会返回真值,所以要进行构造
但是直接拼接../../../不行 不满足true
所以在前面加上source试试还是不行,考虑他这里check函数会在尾部拼接问号,但是直接在尾部拼接问号在结合strpos和substr得到的还是原来的字符串
每一个if都会判断是不是在白名单当中,必须要在白名单当中才会返回true ,又因为他有strpos函数去定位?的位置再去截取之后再判断
所以我们可以构造一个? 使得它在被截取之后是白名单的内容
所以 尝试自己构造问号 source.php?../../ffffllllaaaagggg
这样的话再执行check函数的时候
这里可以返回true
3.总结分析
涉及到的代码审计,而且比较考验思维,还有就是要熟悉php的常见函数
4.分析记录
<?php
highlight_file(__FILE__);
class emmm //定义了一个类
{
public static function checkFile(&$page) 类里面又申明创建了一个函数
{
$whitelist = ["source"=>"source.php","hint"=>"hint.php"]; //创建了一个白名单字典,在php当中字典就是一种具有映射关系的数组。
if (! isset($page) || !is_string($page)) { //如果没有设置page的值或者说page不是字符串,那么就return 为假
echo "you can't see it";
return false;
}if (in_array($page, $whitelist)) { //使用in_array函数,判断某个元素是否在数组当中,这里是字典的话,就是判断某个值是否在数组当中存在,注意,字典只会判断某个值
//是否在字典当中存在,也就是说查找的是值,而不是键
return true; //返回真
}$_page = mb_substr( //mb_substr和substr的功能大致都是一致的,用来截取子串,但是mb有个特点就是,它可以指定字符编码,在处理非英文字符时会比较好
//substr(主串,start,length) ,start为开始下标,从0开始
$page,
0,
mb_strpos($page . '?', '?') //strpos用来查找指定字符在主串当中第一次出现的下标位置,strpos(主串,要查找的字符,可选参数,起始下标)
);
if (in_array($_page, $whitelist)) {
return true; //返回真
}$_page = urldecode($page); //url解码之后的参数赋值给一个新的变量
$_page = mb_substr(
$_page,
0,
mb_strpos($_page . '?', '?') // 先把原有的参数和?进行拼接,再查找?的序号
);
if (in_array($_page, $whitelist)) { 判断page的值是否在whilelist这个字典的值当中存在,注意是只查找值不是键
return true; // return 真
}
echo "you can't see it";
return false; //否则返回假
}
}if (! empty($_REQUEST['file']) //主题部分,通过file传递参数非空并且file的值为字符串并且对file调用上面类中的方法返回值为真
//这三个条件同时满足,才会进入到下一步
&& is_string($_REQUEST['file'])
&& emmm::checkFile($_REQUEST['file'])
) {
include $_REQUEST['file']; //把传入的字符串进行文件包含,include函数会把一个文件包含进来并且执行就是说我们要传递的file是一个文件名或者说是服务器当中的一个文件路径更加准确,然后这里会把它
//就是说我们要传递的file是一个文件名或者说是服务器当中的一个文件路径更加准确,然后这里会把它
exit; //进行包含进来。本题的关键就是在这里,就是通过传递文件名,进行文件包含,包含存在flag的文件,那么我们就可以得到flag了
} else {
echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
}
?>
5.疑点解答
我相信很多人和我会有一个疑问,就是明明page当中有一个问号,那么在文件包含的时候是怎样包含到后面的内容的呢。
我也想了好久,最后了解到一个php当中include、require函数在进行文件包含的时候,有这样一个规则:在PHP中,当使用include函数引入文件时,如果文件路径中包含查询字符串,PHP会忽略查询字符串部分,只解析文件路径部分。 那什么是参数当中的路径部分呢?就是只包括文件名称和路径分隔符,或者由他们组成的整体,如果有问号?那么就在?后面查找文件路径,问号就是查询字符串,也就是说只会查找符合格式的文件路径。
