进入页面发现一个大的滑稽脸,查看源代码,发现提示source.php
hint.php
页面,进入发现提示继续审计代码
file
,此处的file
可以由我们构造,为切入点:检查file
变量是否为空
检查file
变量是否为字符串
通过自定义的checkFile
函数来检查
由于我们要构造payload,前两点直接满足,直接查看checkFile
函数代码:
第一个 if 语句对变量进行检验,要求$page
为字符串,否则返回 false
第二个 if 语句判断$page
是否存在于$whitelist
数组中,存在则返回 true
第三个 if 语句,截取传进参数中首次出现?
之前的部分,判断该部分是否存在于$whitelist
数组中,,存在则返回 true
第四个 if 语句,先对构造的 payload 进行 url 解码,再截取传进参数中首次出现?
之前的部分,并判断该部分是否存在于$whitelist
中,存在则返回 true
以上四个满足一个即可返回 true,若均未满足,则返回 false
我们利用第三个 if 语句构造参数:
?file=source.php?/../../../../ffffllllaaaagggg
第一个?
表示传参,第二个?
用来满足截取
为什么include source.php(或hint.php)?/../../../../ffffllllaaaagggg
能执行成功
/../../../../
这样的路径,所以符合最后一段话如果定义了路径,就会忽略/
前的字符串而去找/../../../../ffffllllaaaagggg
这个文件网上大多数 writeup 用到的 url 编码绕过发现并没有用到,这一方法的思路是将?
进行两次 url 编码,变为%253f
,在服务器端提取参数时自动解码一次,checkFile
函数中解码一次,仍会解码为?
,可以绕过第四个 if ,但是实测只编码一次也可以得到 flag
联系客服