欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页

BUU_warm_up

程序员文章站 2022-05-16 09:10:36
...

考察点:远程文件包含利用漏洞

打开题目网址,提示代码审计,直接审查源码:

BUU_warm_up访问source.php,得到源码:

<?php
    highlight_file(__FILE__);
    class emmm
    {
        public static function checkFile(&$page)
        {
            $whitelist = ["source"=>"source.php","hint"=>"hint.php"];
            if (! isset($page) || !is_string($page)) {
                echo "you can't see it";
                return false;
            }

            if (in_array($page, $whitelist)) {
                return true;
            }

            $_page = mb_substr(
                $page,
                0,
                mb_strpos($page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }

            $_page = urldecode($page);
            $_page = mb_substr(
                $_page,
                0,
                mb_strpos($_page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }
            echo "you can't see it";
            return false;
        }
    }

    if (! empty($_REQUEST['file'])
        && is_string($_REQUEST['file'])
        && emmm::checkFile($_REQUEST['file'])
    ) {
        include $_REQUEST['file'];
        exit;
    } else {
        echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
    }  
?>

审查源码发现一个 hint.php ,尝试访问获得一个关于flag的提示:

BUU_warm_up
查阅大佬们的 wp, 才明白这题是关于 php文件包含漏洞;

代码段分析:

 if (! empty($_REQUEST['file'])
        && is_string($_REQUEST['file'])
        && emmm::checkFile($_REQUEST['file'])
    ) {
        include $_REQUEST['file'];
        exit;
    } else {
        echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
    }  

这里先分析最后一个if , 需要满足三个条件,才对文件进行文件包含:

  • !empty() ,传入字符不能为空;
  • is_string() ,传入的字符为字符;
  • 满足 checkFile() ,即 checkFile() 返回 TURE;

前两个条件满足很简单,最关键的是 checkFile() 这个函数的满足,分析checkFile() 函数:

  • 第一个if,$page为非空字符串即可绕过;
  • 第二个if,判断 $page 是否在 whitelist 这个数组里面;这个if主要用于题目给出源码以及flag位置提示的需要;
            $_page = mb_substr(
                $page,
                0,
                mb_strpos($page . '?', '?')
            );

这段代码,首先 使用 mb_strpos() 函数,给 $page 拼接 ? ,然后返回到 ? 的位置;再用 mb_substr() 函数,截取从 $page 开头到 ?前一个字符的子串,将截取的子串赋给 $_page;

  • 第三个if,将 $_page 使用 in_array() 函数检测是否存在于数组 whitelist 中,如果存在,返回 TRUE;
            $_page = urldecode($page);
            $_page = mb_substr(
                $_page,
                0,
                mb_strpos($_page . '?', '?')
            );

urldecode() ,将$_page进行一次 url 解码,然后是给 $_page 拼接 ? ,然后在截取到 ? 的子串再赋给 $_page;

  • 第四个if,仍然是判断 $_page 是否在 数组中,成立返回TRUE;

至此整个代码分析过程结束;

接下来,构造 payload,两种方法利用远程文件包含漏洞,进行目录穿越:

  • 第一种方法:绕过第一个if,满足第三个if

payload: ?file=hint.php?/../../../../ffffllllaaaagggg

分析:此时,$page=hint.php?/…/…/…/…/ffffllllaaaagggg, 被送入mb_substr() 和 mb_strpos() 做处理后,使 $_page = hint.php , $_page再被送入第三个 if 做判断,显然 hint.php 在whitelist 数组中 ,checkFile() 函数返回 TRUE;

  • 第二种方法:绕过第一个if,满足第四个if

?file=hint.php%253f/../../../../ffffllllaaaagggg

分析:此时,$page=hint.php%253f/…/…/…/…/ffffllllaaaagggg,url首先对传参进行一次解码,使得 $page=hint.php%3f/…/…/…/…/ffffllllaaaagggg;因为 ? 进行了二次url编码,所以第三个if不成立, $page 被送入urldecode(),再次被解码,使得 $page=hint.php?/…/…/…/…/ffffllllaaaagggg,最后 $_page=hint.php ,在 数组 whitelist 中,checkFile() 返回TRUE;

BUU_warm_up
关于文件包含漏洞以及目录穿越请参阅:

目录穿越
目录穿越
文件包含

相关标签: BUU

推荐阅读