做地方旅游网站,WordPress 虎嗅主题免费,境外域名,手机微网站价题目环境#xff1a; 发现除了表情包#xff0c;再无其他F12试试发现source.php文件访问这个文件#xff0c;格式如下#xff1a;url/source.php回显如下#xff1a;PHP代码审计#xff1a;
?php
highlight_file(__FILE__);
class emmm
{public static function ch…题目环境 发现除了表情包再无其他F12试试发现source.php文件访问这个文件格式如下url/source.php回显如下PHP代码审计
?php
highlight_file(__FILE__);
class emmm
{public static function checkFile($page){$whitelist [sourcesource.php,hinthint.php];if (! isset($page) || !is_string($page)) {echo you cant see it;return false;}if (in_array($page, $whitelist)) {return true;}$_page mb_substr($page,0,mb_strpos($page . ?, ?));if (in_array($_page, $whitelist)) {return true;}$_page urldecode($page);$_page mb_substr($_page,0,mb_strpos($_page . ?, ?));if (in_array($_page, $whitelist)) {return true;}echo you cant see it;return false;}
}if (! empty($_REQUEST[file])is_string($_REQUEST[file])emmm::checkFile($_REQUEST[file])
) {
include $_REQUEST[file];
exit;
} else {
echo brimg src\https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\ /;
}
?定义了一个名为emmm的类该类有一个静态方法checkFile。checkFile方法接受一个字符串参数$page这个参数可能代表一个文件名。定义了一个$whitelist数组这个数组里面存在两个元素是source.php和hint.php。checkFile方法首先检查$page是否存在且为字符串。如果不满足这些条件它将输出you can’t see it并返回false。然后checkFile方法检查 p a g e 是否存在于一个名为 page是否存在于一个名为 page是否存在于一个名为whitelist的数组中。这个数组包含两个元素分别是source.php和hint.php。如果 p a g e 在 page在 page在whitelist中方法将返回true。如果 p a g e 不在 page不在 page不在whitelist中那么checkFile方法将尝试通过以下步骤查找匹配的文件名 首先它将 p a g e 和问号 ( ? ) 连接起来然后查找这个字符串在 page和问号(?)连接起来然后查找这个字符串在 page和问号(?)连接起来然后查找这个字符串在page中的位置。这可能是为了检查是否存在一个查询字符串。然后它对$page进行url解码再重复之前的步骤。如果以上两种方式都未能找到匹配的文件名那么方法将输出you can’t see it并返回false。 在类的定义之外这段代码检查了一个名为 R E Q U E S T [ ′ f i l e ′ ] 的变量。如果这个变量非空且为字符串并且通过 e m m m : : c h e c k F i l e ( _REQUEST[file]的变量。如果这个变量非空且为字符串并且通过emmm::checkFile( REQUEST[′file′]的变量。如果这个变量非空且为字符串并且通过emmm::checkFile(_REQUEST[‘file’])检查那么它将包含(include)这个文件并退出。否则它将显示最初页面的那个滑稽表情包图片。总的来说给了我们一个参数是file我们给file参数传值就等于是给page参数传值传的值需要提前用英文问号?连接起来然后我们就可以找flag怎么找flag是个问题但是在代码里面还有一个名为hint.php的文件不妨去看看或许有咱们需要的信息。 查看hint.php内容查看格式:url/hint.php回显结果这里说flag在ffffllllaaaagggg文件里面有了目标就好办了构造下payloadurl/source.php?filehint.php?/ffffllllaaaagggg竟然什么都没有显示分析一下原因 首先我们的payload要在source.php文件下进行因为参数在这里面。flag在ffffllllaaaagggg里面ffffllllaaaagggg又在hint.php里面并且$whitelist数组里面也存在hint.php文件所以说要先进到hint.php文件里面。英文问号(?)连接后面的字符串也没有问题到这里payload构造是没有问题的那么问题就出在了找flag的位置不对我们这个payload是在hint.php文件里面找的但是没有返回上一级找找看问题是也不知道flag具体在哪一级那就构造多一些溢出的部分没关系这里只会显示最后一个目录。了解一下 1、“.”表示当前目录也可以用“./”表示。 2、“…”表示上一级目录也可以用“…/”表示。 3、“~” 代表用户自己的宿主目录。 4、“/”处于Linux文件系统树形结构的最顶端我们称它为Linux文件系统的root它是Linux文件系统的入口。 继续构造payloadurl/source.php?filehint.php?../../../../../../ffffllllaaaagggg这里就是说一直返回上一级查找直到查找到flag为止最终返回到/root根目录因为ffffllllaaaagggg原本是在hint.php文件里面嘛所以说要一直往上一级目录找它的原始位置…/倒不是一定是6个看你的flag具体在那个上一级目录了上传payload回显结果爆出flagflag{89c3539b-c6f4-4454-892a-ff1e460a560b}
