BUUCTF 的第一题,上来就给搞懵了。。 。这要是我自己做出来的,岂不是相当于挖了一个 CVE ?(菜鸡这样安慰自己)
 
问题在 index.php 的 55~63 行
// If we have a valid target, let's load that script instead

if (! empty($_REQUEST['target'])

    && is_string($_REQUEST['target'])

    && ! preg_match('/^index/', $_REQUEST['target'])

    && ! in_array($_REQUEST['target'], $target_blacklist)

    && Core::checkPageValidity($_REQUEST['target'])

) {

    include $_REQUEST['target'];

    exit;

}
 
对于传递的参数有 5 个条件,如果满足就 include 包含参数
1.不为空
2.是字符串
3.不以 index 开头
4.不能出现在:$target_blacklist 中
5.Core 类的 checkPageValidity 方法判断
 
前三个基本忽略,第四个发现
/index.php

//line 50-52

$target_blacklist = array (

    'import.php', 'export.php'

);
也就是 target 不能是 import.php 和 export.php
 
 
最后是 Core 类 checkPageValidity 函数判断
//443-478

public static function checkPageValidity(&$page, array $whitelist = [])

{

    if (empty($whitelist)) {

        $whitelist = self::$goto_whitelist;

    }

    if (! isset($page) || !is_string($page)) {

        return false;

    }

    if (in_array($page, $whitelist)) {

        return true;

    }

    $_page = mb_substr(

        $page,

        0,

        mb_strpos($page . '?', '?')

    );

    if (in_array($_page, $whitelist)) {

        return true;

    }

    $_page = urldecode($page);

    $_page = mb_substr(

        $_page,

        0,

        mb_strpos($_page . '?', '?')

    );

    if (in_array($_page, $whitelist)) {

        return true;

    }

    return false;

}
函数里又是五个判断:
1.$whitelist 为空则引用静态声明:$goto_whitelist
2.如果 $page 没有被定义不是字符串则返回 false
3.如果 $page 存在 $whitepage 则返回 true
4.如果 $_page 存在 $whitelist 则返回 true($_page是取出$page问号前面的东西)
5.经过 url 解码后 $_Page 存在 $whitelist 中则返回 true
 
当 index.php 调用 checkPageValidity 时并没有传 $whitelist 的值,所以会进入 self::$goto_whitelist;
public static $goto_whitelist = array(

        'db_datadict.php',

        'db_sql.php',

        'db_events.php',

        'db_export.php',

        'db_importdocsql.php',

        'db_multi_table_query.php',

        'db_structure.php',

......

        'user_password.php',

    );
 
在 $goto_whitelist 中定义了可以被包含的文件名(很多,少些一部分)
 
第二个满足,直接跳过,第三个:
$_page = mb_substr(

    $page,

    0,

    mb_strpos($page . '?', '?')

);

if (in_array($_page, $whitelist)) {

    return true;

}
 
如果 $page 等于 $goto_whitelist 某个值,则 return true
这里考虑到 target 后面再跟参数的情况将 $_page 以?分割,然后去前面的字符再判断是否存在于 $goto_whitelist 中
还考虑到 url 编码的情况如果未成功下一步 url 解码
 
 
传入二次编码的内容就会让 checkPageValidity 后返回 true
 
比如传入:?target=db_datadict.php%253f
服务器自动解码一次是 ?target=db_datadict.php%3f
在经过 checkPageValidity 函数解码变成:?target=db_datadict.php?
这便符合了 ? 前面内容在白名单里会返回 true,但是 index.php 中的 $_REQUEST['target'] 仍然是 db_datadict.php%3f,而且会被包含,通过目录穿越就会造成任意文件包含漏洞
 
 

【Web】BUUCTF-warmup(CVE-2018-12613)的更多相关文章

  1. 【RDA】使用RDA(Remote Diagnostic Agent)工具对数据库进行健康检查

    [RDA]使用RDA(Remote Diagnostic Agent)工具对数据库进行健康检查 分类: Linux RDA英文全称叫做"Oracle Remote Diagnostic Ag ...

  2. 网易云课堂_C++程序设计入门(上)_第6单元:丹枫虽老犹多态–继承与多态_第6单元作业【2】- 在线编程(难度:中)

    第6单元作业[2]- 在线编程(难度:中) 查看帮助 返回   温馨提示: 1.本次作业属于Online Judge题目,提交后由系统即时判分. 2.学生可以在作业截止时间之前不限次数提交答案,系统 ...

  3. 网易云课堂_C++程序设计入门(上)_第5单元:万类霜天竞自由 – 对象和类的更多内容_第5单元作业【4】 - 在线编程(难度:难)

    第5单元作业[4] - 在线编程(难度:难) 查看帮助 返回   温馨提示: 1.本次作业属于Online Judge题目,提交后由系统即时判分. 2.学生可以在作业截止时间之前不限次数提交答案,系 ...

  4. 【12c】扩展数据类型(Extended Data Types)-- MAX_STRING_SIZE

    [12c]扩展数据类型(Extended Data Types)-- MAX_STRING_SIZE 在12c中,与早期版本相比,诸如VARCHAR2, NAVARCHAR2以及 RAW这些数据类型的 ...

  5. POJ 1986 Distance Queries / UESTC 256 Distance Queries / CJOJ 1129 【USACO】距离咨询(最近公共祖先)

    POJ 1986 Distance Queries / UESTC 256 Distance Queries / CJOJ 1129 [USACO]距离咨询(最近公共祖先) Description F ...

  6. CJOJ 1070 【Uva】嵌套矩形(动态规划 图论)

    CJOJ 1070 [Uva]嵌套矩形(动态规划 图论) Description 有 n 个矩形,每个矩形可以用两个整数 a, b 描述,表示它的长和宽.矩形 X(a, b) 可以嵌套在矩形 Y(c, ...

  7. 【Luogu3457】POW-The Flood(并查集)

    [Luogu3457]POW-The Flood(并查集) 题面 洛谷 题解 我们知道,如果一个点和一个海拔不高于它的点相连 那么连在那个点是更优的,所以考虑按照每个点的海拔排序 既然按照海拔排序,相 ...

  8. 【BZOJ2160】拉拉队排练(回文树)

    [BZOJ2160]拉拉队排练(回文树) 题面 BZOJ 题解 看着题目, 直接构建回文树 求出每个回文串的出现次数 直接按照长度\(sort\)一下就行了 然后快速幂算一下答案就出来了 这题貌似可以 ...

  9. 【Uoj34】多项式乘法(NTT,FFT)

    [Uoj34]多项式乘法(NTT,FFT) 题面 uoj 题解 首先多项式乘法用\(FFT\)是一个很久很久以前就写过的东西 直接贴一下代码吧.. #include<iostream> # ...

  10. 【BZOJ3992】序列统计(动态规划,NTT)

    [BZOJ3992]序列统计(动态规划,NTT) 题面 BZOJ 题解 最裸的暴力 设\(f[i][j]\)表示前\(i\)个数,积在膜意义下是\(j\)的方案数 转移的话,每次枚举一个数,直接丢进去 ...

随机推荐

  1. [loj3031]聚会

    对于一棵树(初始仅包含节点0),不断加入一个不在树中的节点$u$(不需要随机),并维护这棵树 具体的,对这棵树点分治,假设当前重心$v$有$d$个子树,假设其中第$i$个子树根为$r_{i}$,子树大 ...

  2. Dapr初体验之服务调用

    初次理解服务调用 在微服务中,有一个难点就是:如果你想使用各个服务组件,你就得知道不同服务的地址和端口,也就是服务发现. 在传统应用我们是怎么做的?就是在web项目里配置上api地址,如下: 在一个w ...

  3. uni-app开发 uni.scss 样式的整体化设置

    今天在写uni-app设计的时候,界面图片.图标规格一直无法正常显示.查看了uni-app官网的代码注释后,发现了在style中设置<style lang="scss"> ...

  4. x86汇编反编译到c语言之——(2)if语句

    一. 测试的C语句及编译后的x86汇编代码 int a; int b; int main(void) { int c; if (c) a = 4; else b = 5; return 0; } 1 ...

  5. FJD1T1

    在考场上因为一些原因,系统编译不了. 于是在最后\(1h\)把\(T3\)得重打一遍,所以这题的暴力没有写完. 不过也确实很蠢,没想到做法. 考虑搜索原串中的字母的对应取值,然后计算出结果的柿子. 考 ...

  6. HDU 7066 - NJU emulator(构造题)

    题面传送门 提供一种不同于官方题解.需要的操作次数比官方题解多(官方题解大概是 \(2\times 16\),我这大概是 \(3\times 16\)),但能通过此题的做法. 首先我们考虑一个暴力,我 ...

  7. UOJ 266 - 【清华集训2016】Alice和Bob又在玩游戏(SG 定理+01-trie)

    题面传送门 神仙题. 首先注意到此题的游戏是一个 ICG,故考虑使用 SG 定理解决这个题,显然我们只需对每个连通块计算一遍其 SG 值异或起来检验是否非零即可.注意到我们每删除一个点到根节点的路径后 ...

  8. Golang gRPC调试工具

    目录 Golang gRPC调试工具 1. 命令行工具 grpcurl 1.1 安装 1.2 验证 1.3 注册反射 1.4 使用示例 2. web调试工具grpcui 2.1 安装 2.2 验证 2 ...

  9. Selenium-IDE,在网页上模拟人的操作

    想偷懒,不想做很机械重复的网页操作,就百度了一下看看有什么方法,能把自己从重复性的网页操作中解放出来,于是,百度到了selenium ide,折腾许久,用最新版火狐添加了自带selenium ide组 ...

  10. c语言转义字符如下

    #define MQTT_EVENT_REPORT_BOX_STATUS_FORMAT "{"\                                           ...