BUU第一题,老实说第一次做的时候手足无措。
0x00
题目类型:php代码审计,文件包含。
0x01
点开链接,开门见山就是一个大大的滑稽。
查看源代码,注释中提醒有source.php文件。访问source.php,看到源码。
<?php
highlight_file(__FILE__);
class emmm
{
public static function checkFile(&$page)
{
$whitelist = ["source"=>"source.php","hint"=>"hint.php"];
if (! isset($page) || !is_string($page)) {
echo "you can't see it";
return false;
}
if (in_array($page, $whitelist)) {
return true;
}
$_page = mb_substr(
$page,
0,
mb_strpos($page . '?', '?')
);
if (in_array($_page, $whitelist)) {
return true;
}
$_page = urldecode($page);
$_page = mb_substr(
$_page,
0,
mb_strpos($_page . '?', '?')
);
if (in_array($_page, $whitelist)) {
return true;
}
echo "you can't see it";
return false;
}
}
if (! empty($_REQUEST['file'])
&& is_string($_REQUEST['file'])
&& emmm::checkFile($_REQUEST['file'])
) {
include $_REQUEST['file'];
exit;
} else {
echo "<br><img src="https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg" />";
}
?>代码比较简单,利用点就在倒数第六行的include函数,会直接将参数传入的值作为文件名包含,并回显在页面中。if语句对文件名进行了一个简单的判断,前两个不太重要,重点在checkFile函数。回头去看emmm这个类,开头进行了一次白名单校验,故file只能取source.php与hint.php两个值。而后判断传入的参数是否在白名单中,若是则返回值为真。mb_substr函数从参数开始处提取一个子串,长度为对参数末尾拼接一个"?"后"?"首次出现的位置。最后对参数进行了二次url解码再截取了一个子串,这里就是代码出现问题的地方,由于file参数完全可控,我们可以将“%”进行一次url编码,绕过第一个截断,在二次url解码时生成一个"?",让返回值为真,而后拼接上语句,实现文件读取。
0x02
在hint.php中提示了文件名,思路逐渐明晰,构造payload:http://yourhost/?file=source.php%253f/../../../../ffffllllaaaagggg,由于我们不知道flag的具体位置,../的个数需要一个个试。这是phpmyadmin4.8.1的一个漏洞,CVE编号为CVE-2018-12613,有兴趣可自行搜索。