当前位置：首页 > wzjs >正文

顺的网站建设策划个人免费网站创建入口

wzjs 2025/8/22 1:27:58

顺的网站建设策划,个人免费网站创建入口,企业信息查询免费软件,河南手机网站建设使用浏览器直接访问目标页面只有一张图片没有其他标签信息，尝试查看页面前端源码 CtrlU查看该页源码通过该页源码可见，存在注释：，因此尝试访问该文件通过该页面展示不难看出这些是PHP代码，…

使用浏览器直接访问目标页面

只有一张图片没有其他标签信息，尝试查看页面前端源码

Ctrl+U查看该页源码

通过该页源码可见，存在注释：``，因此尝试访问该文件

通过该页面展示不难看出这些是PHP代码，将代码拖出进行审计

 <?phphighlight_file(__FILE__);class emmm{public static function checkFile(&$page){$whitelist = ["source"=>"source.php","hint"=>"hint.php"];if (! isset($page) || !is_string($page)) {echo "you can't see it";return false;}if (in_array($page, $whitelist)) {return true;}$_page = mb_substr($page,0,mb_strpos($page . '?', '?'));if (in_array($_page, $whitelist)) {return true;}$_page = urldecode($page);$_page = mb_substr($_page,0,mb_strpos($_page . '?', '?'));if (in_array($_page, $whitelist)) {return true;}echo "you can't see it";return false;}}if (! empty($_REQUEST['file'])&& is_string($_REQUEST['file'])&& emmm::checkFile($_REQUEST['file'])) {include $_REQUEST['file'];exit;} else {echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";}  
?>

使用大模型自动化为该代码进行逐行注释，以便我们进行阅读审计

<?php// 高亮显示当前 PHP 文件的源代码，用于调试或展示代码结构highlight_file(__FILE__);// 定义一个名为 emmm 的类，该类用于检查文件是否合法class emmm{// 定义一个静态方法 checkFile，用于检查传入的文件是否在白名单中// &$page 表示通过引用传递 $page 变量，这样可以在方法内部修改该变量的值public static function checkFile(&$page){// 定义一个白名单数组 $whitelist，包含允许访问的文件及其对应的别名$whitelist = ["source"=>"source.php","hint"=>"hint.php"];// 检查 $page 是否未设置或者不是字符串类型if (! isset($page) || !is_string($page)) {// 如果不满足条件，输出提示信息echo "you can't see it";// 返回 false 表示文件不合法return false;}// 检查 $page 是否在白名单数组中if (in_array($page, $whitelist)) {// 如果在白名单中，返回 true 表示文件合法return true;}// 截取 $page 中从开头到第一个问号（?）之前的部分，存储在 $_page 变量中$_page = mb_substr($page,0,mb_strpos($page . '?', '?'));// 检查截取后的 $_page 是否在白名单数组中if (in_array($_page, $whitelist)) {// 如果在白名单中，返回 true 表示文件合法return true;}// 对 $page 进行 URL 解码，存储在 $_page 变量中$_page = urldecode($page);// 对解码后的 $_page 再次截取从开头到第一个问号（?）之前的部分$_page = mb_substr($_page,0,mb_strpos($_page . '?', '?'));// 检查再次截取后的 $_page 是否在白名单数组中if (in_array($_page, $whitelist)) {// 如果在白名单中，返回 true 表示文件合法return true;}// 如果以上所有检查都不通过，输出提示信息echo "you can't see it";// 返回 false 表示文件不合法return false;}}// 检查 $_REQUEST['file'] 是否不为空，并且是字符串类型，并且通过了 emmm::checkFile 方法的检查if (! empty($_REQUEST['file'])&& is_string($_REQUEST['file'])&& emmm::checkFile($_REQUEST['file'])) {// 如果所有条件都满足，包含并执行 $_REQUEST['file'] 指定的文件include $_REQUEST['file'];// 终止脚本执行exit;} else {// 如果条件不满足，输出一张图片的 HTML 代码echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";}  
?>

将这些代码进行简单拆分后可以拆分成两个部分：

函数检查部分
文件包含执行部分

首先尝试分析相对较短的文件包含执行部分的代码

// 检查 $_REQUEST['file'] 是否不为空，并且是字符串类型，并且通过了 emmm::checkFile 方法的检查if (! empty($_REQUEST['file'])&& is_string($_REQUEST['file'])&& emmm::checkFile($_REQUEST['file'])) {// 如果所有条件都满足，包含并执行 $_REQUEST['file'] 指定的文件include $_REQUEST['file'];// 终止脚本执行exit;} else {// 如果条件不满足，输出一张图片的 HTML 代码echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";} 
?>

可见该部分最后三行属于无关项，因此将其删去仅保留重点

// 检查 $_REQUEST['file'] 是否不为空，并且是字符串类型，并且通过了 emmm::checkFile 方法的检查if (! empty($_REQUEST['file'])&& is_string($_REQUEST['file'])&& emmm::checkFile($_REQUEST['file'])) {// 如果所有条件都满足，包含并执行 $_REQUEST['file'] 指定的文件include $_REQUEST['file'];// 终止脚本执行exit;}

简单分析可知，这部分代码最后会对`$_REQUEST['file']`部分进行文件包含。所需条件为

`$_REQUEST['file']`中的内容不能为空
`$_REQUEST['file']`必须是字符串类型
`$_REQUEST['file']`必须已通过函数检查部分

总结：当上面三个条件判断均为真时，将对file参数指定的文件进行文件包含操作

由此，文件包含执行的代码部分就解析完了，只有三个简单条件判断因此也相对易理解

接下来审计函数检查部分代码

<?php
// &$page 表示通过引用传递 $page 变量，这样可以在方法内部修改该变量的值
public static function checkFile(&$page)
{// 定义一个白名单数组 $whitelist，包含允许访问的文件及其对应的别名$whitelist = ["source"=>"source.php","hint"=>"hint.php"];// 检查 $page 是否未设置或者不是字符串类型if (! isset($page) || !is_string($page)) {// 如果不满足条件，输出提示信息echo "you can't see it";// 返回 false 表示文件不合法return false;}// 检查 $page 是否在白名单数组中if (in_array($page, $whitelist)) {// 如果在白名单中，返回 true 表示文件合法return true;}// 截取 $page 中从开头到第一个问号（?）之前的部分，存储在 $_page 变量中$_page = mb_substr($page,0,mb_strpos($page . '?', '?'));// 检查截取后的 $_page 是否在白名单数组中if (in_array($_page, $whitelist)) {// 如果在白名单中，返回 true 表示文件合法return true;}// 对 $page 进行 URL 解码，存储在 $_page 变量中$_page = urldecode($page);// 对解码后的 $_page 再次截取从开头到第一个问号（?）之前的部分$_page = mb_substr($_page,0,mb_strpos($_page . '?', '?'));// 检查再次截取后的 $_page 是否在白名单数组中if (in_array($_page, $whitelist)) {// 如果在白名单中，返回 true 表示文件合法return true;}// 如果以上所有检查都不通过，输出提示信息echo "you can't see it";// 返回 false 表示文件不合法return false;
}

此处定义了一个whitelist数组，用作后续白名单文件的判断

$whitelist = ["source"=>"source.php","hint"=>"hint.php"];

此处用于判断该文件是否正确传参进入该判断函数，以及该文件是否为字符串

if (! isset($page) || !is_string($page))

此处用于判断传入的文件是否存在于白名单中，即是否为source.php、hint.php文件

if (in_array($page, $whitelist))

尝试访问hint.php文件获取更多信息

该页只有一条文本，猜测Flag应该存储在根目录下的ffffllllaaaagggg文件中

flag not here, and flag in ffffllllaaaagggg

接着往下对函数检查部分代码进行审计这里到了重点

可见这部分代码在该函数中出现了两次

$_page = mb_substr($_page,0,mb_strpos($_page . '?', '?'));

首先对mb_strpos函数进行分析

mb_strpos($_page . '?', '?')

首先看：`$_page . '?'`这部分：这代表了首先将在文件末尾拼接一个问号`?`

例如原文为：?ABCDE
经过拼接后变为：?ABCDE?

再从整体`mb_strpos($_page . '?', '?')`分析：这代表了将从?ABCDE?中查找第一个问号的位置

原文为：`?ABCDE`时每个字符的位置(蓝色数字)

因此，当原文为?ABCDE时，该函数`mb_strpos($_page . '?', '?')`将会返回结果：0

原文为：`ABCDE`时每个字符的位置(蓝色数字)

假设，当原文为：ABCDE时，该函数`mb_strpos($_page . '?', '?')`将会返回结果：5

该函数为防止该字符串不存在`?`符，在末尾添加`?`符以便后续其他函数的判断

接着对mb_substr函数进行分析

$_page = mb_substr($_page,0,mb_strpos($_page . '?', '?'));

可将三个函数拆分成三个部分：A、B、C

$_page = mb_substr( A , B , C );

首先分析该函数中的三个参数

$_page,0,mb_strpos($_page . '?', '?')

A部分($_page：用于标识对该字符串是待处理字符串
B部分(0：表示截取的起始位置这里为0也就是从头开始
C部分(mb_strpos($_page . '?', '?')：由于mb_strpos函数最终返回的是一个长度值，因此这里代表的是mb_substr的截取长度)

因此，经过mb_substr、mb_strpos的复合操作后，返回示例如下

当$_page原文为：?ABCDE时，C部分返回长度为0，B部分从0开始截取，返回空串

当$_page原文为：ABCDE时，C部分返回长度为5，B部分从0开始截取，返回ABCDE

此处出现了两次截取和判断白名单

由图可知，两次截取判断中间仅做了一次URL解码，猜测是为了防止攻击者使用编码绕过

$_page = urldecode($page);

至此所有判断函数和代码均已分析完成，尝试逐一进行绕过

尝试绕过第一次白名单判断，注意URL/?file=为传参点不参与判断运算

构造链接：URL/?file=source.php?或URL/?file=hint.php?，此时$page=source.php或hint.php存在于白名单中

尝试绕过第一次截取后加白名单判断

构造链接：URL/?file=source.php?或URL/?file=hint.php?，经过截取后$_page=source.php或hint.php依然存在于白名单

使用urldecode函数对$page进行URL解码后其值不变，因为我们在构造的链接中未对任何字符进行URL编码

尝试绕过第二次截取后加白名单判断

$_page = urldecode($page);

上述代码，会将source.php或hint.php传给$_page变量中，通过mb_strpos函数自动往末尾拼接`?`符进行截取后，结果依然是source.php或hint.php，因此同样可以通过白名单判断

不论是截取还是白名单判断，综合来看source.php或hint.php问号后面的字符串自始至终都不参与到任何判断

因此，我这里尝试通过include函数对路径限制不够严格的特性读取ffffllllaaaagggg文件

构造完整链接：URL/?file=source.php?../../../../../ffffllllaaaagggg

由于不知道多少个`../`可以回到根目录，所以逐个添加尝试即可

include函数将会解析字符串：source.php?../../../../../ffffllllaaaagggg

如果在靶机WebAPP当前目录下存在source.php文件，include将包含source.php文件而忽略../../../../../ffffllllaaaagggg文件
而如果在靶机WebAPP当前目录下找不到source.php文件，include函数会将整个字符串作为路径尝试解析，因此读取到../../../../../ffffllllaaaagggg文件