BUUCTF系列 // [HCTF 2018] WarmUp

前言

本题知识点：PHP 的代码审计 & 目录穿越

WP

打开题目页面，可以看到一个滑稽表情，除此之外没有明显的提示。F12查看网页源码，发现提示 ‘source.php’

访问该文件，得到题目源码

对代码进行初步的分析如下：

<?php
    highlight_file(__FILE__);
    class emmm		//定义 emmm类
    {
        public static function checkFile(&$page)		//定义 checkFile方法
        {
            $whitelist = ["source"=>"source.php","hint"=>"hint.php"];
            if (! isset($page) || !is_string($page)) {	//判断 page变量是否存在且为字符串
                echo "you can't see it";
                return false;
            }

            if (in_array($page, $whitelist)) {			//判断 page变量是否为 whitelist数组中的字符串
                return true;
            }

            $_page = mb_substr(					//如果 page变量和白名单数组中的字符串不相同，则获取基于 page变量得到的新变量 _page以供再次进行判断
                $page,							//mb_substr函数返回一个字符串的子串，第二三个参数指定该子串在字符串中的起始位置
                0,
                mb_strpos($page . '?', '?')		//首先在 page字符串的结尾拼接一个问号，再利用 mb_strpos函数返回问号在 page字符串中首次出现的位置
            );
            
            if (in_array($_page, $whitelist)) {
                return true;
            }

           $_page = urldecode($page);			//对 page变量值进行URL解码
            $_page = mb_substr(
                $_page,
                0,
                mb_strpos($_page . '?', '?')
            );
            
            if (in_array($_page, $whitelist)) {
                return true;
            }
            
            echo "you can't see it";
            return false;
        }
    }

    if (! empty($_REQUEST['file'])				//判断 file值是否为空
        && is_string($_REQUEST['file'])			//判断 file值是否为字符串
        && emmm::checkFile($_REQUEST['file'])	//判断 file值是否能够通过 checkFile函数校验
    ) {
        include $_REQUEST['file'];				//包含 file文件
        exit;
    } else {
        echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";	//滑稽图片
    }  
?>

由初步的分析可知，本题需要我们绕过对 file变量值的校验，然后即可通过包含 file文件得到其中内容

观察代码，可发现在 whitelist数组中提示我们访问 ‘hint.php’ ，访问该文件即可得到 flag所在文件的线索

综上所述，多次尝试目录穿越，最终构造 URL如下，得到 flag

......source.php?file=hint.php?./../../../../ffffllllaaaagggg