[BUUOJ记录] [HCTF 2018]WarmUp

BUUOJ Web的第一题，其实是很有质量的一道题，但是不知道为什么成了Solved最多的题目，也被师傅们笑称是“劝退题”，这道题的原型应该是来自于phpMyadmin的一个文件包含漏洞（CVE-2018-12613）

解题过程

解题思路

进入题目查看源代码发现提示:

跟进source.php得到源代码：

 <?php
    highlight_file(__FILE__);
    class emmm
    {
        public static function checkFile(&$page)
        {
            $whitelist = ["source"=>"source.php","hint"=>"hint.php"];
            if (! isset($page) || !is_string($page)) {
                echo "you can't see it";
                return false;
            }

            if (in_array($page, $whitelist)) {
                return true;
            }

            $_page = mb_substr(
                $page,
                0,
                mb_strpos($page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }

            $_page = urldecode($page);
            $_page = mb_substr(
                $_page,
                0,
                mb_strpos($_page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }
            echo "you can't see it";
            return false;
        }
    }

    if (! empty($_REQUEST['file'])
        && is_string($_REQUEST['file'])
        && emmm::checkFile($_REQUEST['file'])
    ) {
        include $_REQUEST['file'];
        exit;
    } else {
        echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
    }
?> 

代码分为两部分来看，第一部分是定义了emmm类的一个checkFile函数，用来检查传入的file参数是否合规：

    class emmm
    {
        public static function checkFile(&$page)
        {
            $whitelist = ["source"=>"source.php","hint"=>"hint.php"];
            if (! isset($page) || !is_string($page)) {
                echo "you can't see it";
                return false;
            }

            if (in_array($page, $whitelist)) {
                return true;
            }

            $_page = mb_substr(
                $page,
                0,
                mb_strpos($page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }

            $_page = urldecode($page);
            $_page = mb_substr(
                $_page,
                0,
                mb_strpos($_page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }
            echo "you can't see it";
            return false;
        }
    }

第二部分是程序全局代码，从这里我们可以得到包含文件的三个条件：

    if (! empty($_REQUEST['file'])
        && is_string($_REQUEST['file'])
        && emmm::checkFile($_REQUEST['file'])    //用$_REQUEST来接收file参数，如果file参数的值不为空、为字符串、可以通过emmm类checkFile函数检测，则包含该文件
    ) {
        include $_REQUEST['file'];
        exit;
    } else {
        echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
    }

在emmm类的checkFile函数中我们可以看到白名单中有两个文件：

$whitelist = ["source"=>"source.php","hint"=>"hint.php"];

包含一下hint.php文件来试试 /source.php?file=hint.php ：

提示我们Flag在ffffllllaaaagggg中，那么我们解题的关键就是如何包含这个在whitelist外的文件

从第二部分代码我们可以看出，重点是如何让ffffllllaaaagggg通过checkFile的检查，因此我们就需要从emmm类的checkFile函数入手

前置知识点

我们在读这个函数的代码前需要提前了解几个checkFile函数中出现的函数：

1. in_array() 函数搜索数组中是否存在指定的值

更多信息参考:https://www.w3school.com.cn/php/func_array_in_array.asp

2. mb_substr() 函数返回字符串的一部分，之前我们学过 substr() 函数，它只针对英文字符，如果要分割的中文文字则需要使用 mb_substr()

更多信息参考:https://www.runoob.com/php/func-string-mb_substr.html

3. mb_strpos() 查找字符串在另一个字符串中首次出现的位置

更多信息参考:https://www.php.net/manual/zh/function.mb-strpos.php

核心代码分析

在了解了上面的几个小点之后我们返回来看核心代码:

    class emmm
    {
        public static function checkFile(&$page)
        {
            $whitelist = ["source"=>"source.php","hint"=>"hint.php"];
            if (! isset($page) || !is_string($page)) {  //page必须不为空或为字符串
                echo "you can't see it";
                return false;
            }

            if (in_array($page, $whitelist)) {  //in_array()检测page是否在whitelist中
                return true;
            }

            $_page = mb_substr(  //如果page含有?，则获取page第一个?前的值并赋给_page变量
                $page,
                0,
                mb_strpos($page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {  //检测_page是否在whitelist中
                return true;
            }

            $_page = urldecode($page);  //给_page二次赋值，使其等于URL解码之后的page
            $_page = mb_substr(
                $_page,
                0,
                mb_strpos($_page . '?', '?')  //如果_page有?，则截取_page(URL解码后的page)两个?中间的值
            );
            if (in_array($_page, $whitelist)) {  //检测_page是否在whitelist中
                return true;
            }
            echo "you can't see it";
            return false;
        }
    }

逻辑可能看着有点乱，所以我们梳理一下逻辑，这里引用王叹之师傅的分析：

可以看到函数代码中有四个if语句：

第一个if语句 对变量进行检验，要求$page为字符串，否则返回false  //因为返回False所以这里无用
第二个if语句 判断$page是否存在于$whitelist数组中，存在则返回true
第三个if语句 判断截取后的$page是否存在于$whitelist数组中，截取$page中'?'前部分，存在则返回true
第四个if语句 判断url解码并截取后的$page是否存在于$whitelist中，存在则返回true
若以上四个if语句均未返回值，则返回false

有三个if语句可以返回true，第二个语句直接判断$page，不可用

第三个语句截取'?'前部分，由于?被后部分被解析为get方式提交的参数，也不可利用

第四个if语句中，先进行url解码再截取，因此我们可以将?经过两次url编码，在服务器端提取参数时解码一次，checkFile函数中解码一次，仍会解码为'?'，仍可通过第四个if语句校验。

只要这四个if语句有一个为true即可包含file，关键点在_page 经过截断后返回true.

所以我们的突破点就在于第四个if语句中，只要满足他的条件，我们就可以包含文件：

$_page = urldecode($page);
$_page = mb_substr(
　　$_page,
　　0,
　　mb_strpos($_page . '?', '?')
);
if (in_array($_page, $whitelist)) {
　　return true;
}

这里URL解码了一次$page值，这里需要注意的是，PHP中$_GET、$_POST、$_REQUEST这类函数在提取参数值时会URL解码一次

而这里在代码中又一次URL解码了一次，共计解码了两次，所以我们也需要对传入的值进行两次URL编码

其次我们的突破点就在于这段代码只会截取?之前的字符串拿去和whitelist比对，因此只要确保?前的值是source.php或hint.php即可返回true

等同于 /source.php?file=source.php%253F123456 便可以使用include()函数包含 source.php?123456 这个文件(%253f是?URL编码两次后的值)

所以可以构造Payload:

/index.php?file=source.php%253F/../../../../ffffllllaaaagggg

需要注意的是，这里之所以可以包含到ffffllllaaaagggg是因为PHP将 source.php%253F/ 视作了一个文件夹，然后 ../ 的用途是返回上级目录

ffffllllaaaagggg位于根目录下，一般Web服务的文件夹在/var/www/html目录中，再加上source.php?/这个“文件夹”，所以我们总共需要../四次来返回到根目录

（如果比赛中不知道flag具体位置的话可以一层一层来试）