文章目录
HCTF-热身
解题
- HCTF-热身
- 解题
- 知识点
- admin
1.首先,F12看网页 
2.进/source.php,看到php代码
"source.php","hint"=>"hint.php"];
if (! isset($page) || !is_string($page)) {
echo "you can't see it";
return false;
}
if (in_array($page, $whitelist)) {
return true;
}
$_page = mb_substr(
$page,
0,
mb_strpos($page . '?', '?')
);
if (in_array($_page, $whitelist)) {
return true;
}
$_page = urldecode($page);
$_page = mb_substr(
$_page,
0,
mb_strpos($_page . '?', '?')
);
if (in_array($_page, $whitelist)) {
return true;
}
echo "you can't see it";
return false;
}
}
if (! empty($_REQUEST['file'])
&& is_string($_REQUEST['file'])
&& emmm::checkFile($_REQUEST['file'])
) {
include $_REQUEST['file'];
exit;
} else {
echo "![]()
";
}
?>
首先代码审计
if (! empty($_REQUEST['file'])
&& is_string($_REQUEST['file'])
&& emmm::checkFile($_REQUEST['file'])
) {
include $_REQUEST['file'];
exit;
} else {
echo "![]()
";
}
这一串代码,就是传参file,看到include,我们可能使用文件包含的知识。
//白名单,说明存在source.php和hint.php
$whitelist = ["source"=>"source.php","hint"=>"hint.php"];
if (! isset($page) || !is_string($page)) {
echo "you can't see it";
return false;
}
//in_array(),就是查看file传的参数是否在白名单里
if (in_array($page, $whitelist)) {
return true;
}
//mb_sustr,mb_strpos,这两个函数,就是将file后面的参数截取出来,是以?来分开。
$_page = mb_substr(
$page,
0,
mb_strpos($page . '?', '?')
);
if (in_array($_page, $whitelist)) {
return true;
}
$_page = urldecode($page);
$_page = mb_substr(
$_page,
0,
mb_strpos($_page . '?', '?')
);
if (in_array($_page, $whitelist)) {
return true;
}
echo "you can't see it";
return false;
}
}
所以我们可以构造 ?file=hint.php?其他内容
访问hint.php 
这个是个文件目录,多个字母重复,我们想到了目录穿越 所以构造成功,得到flag 
mb_substr()和substr差不多
mb_substr(
string $str,
int $start,
int $length = NULL,
string $encoding = mb_internal_encoding()
): string
参数:
str:从该 string 中提取子字符串。
start:如果 start 不是负数,返回的字符串会从 str 第 start 的位置开始,从 0 开始计数。举个例子,字符串 'abcdef',位置 0 的字符是 'a',位置 2 的字符是 'c',以此类推。
如果 start 是负数,返回的字符串是从 str 末尾处第 start 个字符开始的。
length:str 中要使用的最大字符数。如果省略了此参数或者传入了 NULL,则会提取到字符串的尾部。
encoding:encoding 参数为字符编码。如果省略或是 null,则使用内部字符编码。
返回值
mb_substr() 函数根据 start 和 length 参数返回 str 中指定的部分。
mb_strpos(),和strpos()差不多
mb_strpos — 查找字符串在另一个字符串中首次出现的位置
说明
mb_strpos(
string $haystack,
string $needle,
int $offset = 0,
string $encoding = mb_internal_encoding()
): int
查找 string 在一个 string 中首次出现的位置。
基于字符数执行一个多字节安全的 strpos() 操作。 第一个字符的位置是 0,第二个字符的位置是 1,以此类推。
参数
haystack
要被检查的 string。
needle
在 haystack 中查找这个字符串。 和 strpos() 不同的是,数字的值不会被当做字符的顺序值。
offset
搜索位置的偏移。如果没有提供该参数,将会使用 0。负数的 offset 会从字符串尾部开始统计。
encoding
encoding 参数为字符编码。如果省略或是 null,则使用内部字符编码。
返回值
返回 string 的 haystack 中 needle 首次出现位置的数值。 如果没有找到 needle,它将返回 false
1.代码审计,知道那几个函数是干嘛的 2.由hint.php中的内容,想到了目录穿越
./../../../../ffffllllaaaagggg
看我这篇文章
