BUUCTF 的第一题,上来就给搞懵了。。 。这要是我自己做出来的,岂不是相当于挖了一个 CVE ?(菜鸡这样安慰自己)
 
问题在 index.php 的 55~63 行
// If we have a valid target, let's load that script instead

if (! empty($_REQUEST['target'])

    && is_string($_REQUEST['target'])

    && ! preg_match('/^index/', $_REQUEST['target'])

    && ! in_array($_REQUEST['target'], $target_blacklist)

    && Core::checkPageValidity($_REQUEST['target'])

) {

    include $_REQUEST['target'];

    exit;

}
 
对于传递的参数有 5 个条件,如果满足就 include 包含参数
1.不为空
2.是字符串
3.不以 index 开头
4.不能出现在:$target_blacklist 中
5.Core 类的 checkPageValidity 方法判断
 
前三个基本忽略,第四个发现
/index.php

//line 50-52

$target_blacklist = array (

    'import.php', 'export.php'

);
也就是 target 不能是 import.php 和 export.php
 
 
最后是 Core 类 checkPageValidity 函数判断
//443-478

public static function checkPageValidity(&$page, array $whitelist = [])

{

    if (empty($whitelist)) {

        $whitelist = self::$goto_whitelist;

    }

    if (! isset($page) || !is_string($page)) {

        return false;

    }

    if (in_array($page, $whitelist)) {

        return true;

    }

    $_page = mb_substr(

        $page,

        0,

        mb_strpos($page . '?', '?')

    );

    if (in_array($_page, $whitelist)) {

        return true;

    }

    $_page = urldecode($page);

    $_page = mb_substr(

        $_page,

        0,

        mb_strpos($_page . '?', '?')

    );

    if (in_array($_page, $whitelist)) {

        return true;

    }

    return false;

}
函数里又是五个判断:
1.$whitelist 为空则引用静态声明:$goto_whitelist
2.如果 $page 没有被定义不是字符串则返回 false
3.如果 $page 存在 $whitepage 则返回 true
4.如果 $_page 存在 $whitelist 则返回 true($_page是取出$page问号前面的东西)
5.经过 url 解码后 $_Page 存在 $whitelist 中则返回 true
 
当 index.php 调用 checkPageValidity 时并没有传 $whitelist 的值,所以会进入 self::$goto_whitelist;
public static $goto_whitelist = array(

        'db_datadict.php',

        'db_sql.php',

        'db_events.php',

        'db_export.php',

        'db_importdocsql.php',

        'db_multi_table_query.php',

        'db_structure.php',

......

        'user_password.php',

    );
 
在 $goto_whitelist 中定义了可以被包含的文件名(很多,少些一部分)
 
第二个满足,直接跳过,第三个:
$_page = mb_substr(

    $page,

    0,

    mb_strpos($page . '?', '?')

);

if (in_array($_page, $whitelist)) {

    return true;

}
 
如果 $page 等于 $goto_whitelist 某个值,则 return true
这里考虑到 target 后面再跟参数的情况将 $_page 以?分割,然后去前面的字符再判断是否存在于 $goto_whitelist 中
还考虑到 url 编码的情况如果未成功下一步 url 解码
 
 
传入二次编码的内容就会让 checkPageValidity 后返回 true
 
比如传入:?target=db_datadict.php%253f
服务器自动解码一次是 ?target=db_datadict.php%3f
在经过 checkPageValidity 函数解码变成:?target=db_datadict.php?
这便符合了 ? 前面内容在白名单里会返回 true,但是 index.php 中的 $_REQUEST['target'] 仍然是 db_datadict.php%3f,而且会被包含,通过目录穿越就会造成任意文件包含漏洞
 
 

【Web】BUUCTF-warmup(CVE-2018-12613)的更多相关文章

  1. 【RDA】使用RDA(Remote Diagnostic Agent)工具对数据库进行健康检查

    [RDA]使用RDA(Remote Diagnostic Agent)工具对数据库进行健康检查 分类: Linux RDA英文全称叫做"Oracle Remote Diagnostic Ag ...

  2. 网易云课堂_C++程序设计入门(上)_第6单元:丹枫虽老犹多态–继承与多态_第6单元作业【2】- 在线编程(难度:中)

    第6单元作业[2]- 在线编程(难度:中) 查看帮助 返回   温馨提示: 1.本次作业属于Online Judge题目,提交后由系统即时判分. 2.学生可以在作业截止时间之前不限次数提交答案,系统 ...

  3. 网易云课堂_C++程序设计入门(上)_第5单元:万类霜天竞自由 – 对象和类的更多内容_第5单元作业【4】 - 在线编程(难度:难)

    第5单元作业[4] - 在线编程(难度:难) 查看帮助 返回   温馨提示: 1.本次作业属于Online Judge题目,提交后由系统即时判分. 2.学生可以在作业截止时间之前不限次数提交答案,系 ...

  4. 【12c】扩展数据类型(Extended Data Types)-- MAX_STRING_SIZE

    [12c]扩展数据类型(Extended Data Types)-- MAX_STRING_SIZE 在12c中,与早期版本相比,诸如VARCHAR2, NAVARCHAR2以及 RAW这些数据类型的 ...

  5. POJ 1986 Distance Queries / UESTC 256 Distance Queries / CJOJ 1129 【USACO】距离咨询(最近公共祖先)

    POJ 1986 Distance Queries / UESTC 256 Distance Queries / CJOJ 1129 [USACO]距离咨询(最近公共祖先) Description F ...

  6. CJOJ 1070 【Uva】嵌套矩形(动态规划 图论)

    CJOJ 1070 [Uva]嵌套矩形(动态规划 图论) Description 有 n 个矩形,每个矩形可以用两个整数 a, b 描述,表示它的长和宽.矩形 X(a, b) 可以嵌套在矩形 Y(c, ...

  7. 【Luogu3457】POW-The Flood(并查集)

    [Luogu3457]POW-The Flood(并查集) 题面 洛谷 题解 我们知道,如果一个点和一个海拔不高于它的点相连 那么连在那个点是更优的,所以考虑按照每个点的海拔排序 既然按照海拔排序,相 ...

  8. 【BZOJ2160】拉拉队排练(回文树)

    [BZOJ2160]拉拉队排练(回文树) 题面 BZOJ 题解 看着题目, 直接构建回文树 求出每个回文串的出现次数 直接按照长度\(sort\)一下就行了 然后快速幂算一下答案就出来了 这题貌似可以 ...

  9. 【Uoj34】多项式乘法(NTT,FFT)

    [Uoj34]多项式乘法(NTT,FFT) 题面 uoj 题解 首先多项式乘法用\(FFT\)是一个很久很久以前就写过的东西 直接贴一下代码吧.. #include<iostream> # ...

  10. 【BZOJ3992】序列统计(动态规划,NTT)

    [BZOJ3992]序列统计(动态规划,NTT) 题面 BZOJ 题解 最裸的暴力 设\(f[i][j]\)表示前\(i\)个数,积在膜意义下是\(j\)的方案数 转移的话,每次枚举一个数,直接丢进去 ...

随机推荐

  1. [cf1379F]Chess Strikes Back

    考虑将$(2i-1,2j-1)$和$(2i,2j)$缩为一个点,记作$(i,j)$ 对于每一个点,只能选$(2i-1,2j-1)$或$(2i,2j)$(显然不能都选),而这样恰好为$nm$个,因此必须 ...

  2. 力扣 - 剑指 Offer 55 - II. 平衡二叉树

    题目 剑指 Offer 55 - II. 平衡二叉树 思路1(后序遍历+剪枝) 这题是上一题剑指 Offer 55 - I. 二叉树的深度的进阶,逻辑代码和那个一样,也是后续遍历,获取两个子节点较大的 ...

  3. idea提交代码好习惯-代码格式化

    提交代码的时候,勾选这个可以格式化提交的代码,非常好! reformat code

  4. 前台json遍历拼装

    //添加角色. $.ajax({ type: "post", url: "/sysRole/list", data: {page: 1, limit: 1000 ...

  5. UOJ 422 - 【集训队作业2018】小Z的礼物(Min-Max 容斥+轮廓线 dp)

    题面传送门 本来说要找道轮廓线 \(dp\) 的题目刷刷来着的?然后就找到了这道题. 然鹅这个题给我最大的启发反而不在轮廓线 \(dp\),而在于让我新学会了一个玩意儿叫做 Min-Max 容斥. M ...

  6. Python基础之字典内置方法

    目录 1. 字典 1.1 字典的作用 1.2 创建和使用字典 1.2.1 dict类 1.2.2 基本的字典操作 1.2.3 字典方法 1. 字典 映射:可以通过名称来访问其各个值的数据结构. 字典是 ...

  7. JAVA中复制数组的方法

    在JAVA里面,可以用复制语句"A=B"给基本类型的数据传递值,但是如果A,B是两个同类型的数组,复制就相当于将一个数组变量的引用传递给另一个数组;如果一个数组发生改变,那么 引用 ...

  8. accent, accept

    accent A colon (:) is used to represent a long vowel, e.g. sheet /ʃiːt/ and shit /ʃit/. The word bed ...

  9. Hbase(一)【入门安装及高可用】

    目录 一.Zookeeper正常部署 二.Hadoop正常部署 三.Hbase部署 1.下载 2.解压 3.相关配置 4.分发文件 5.启动.关闭 6.验证 四.HMaster的高可用 一.Zooke ...

  10. Swagger2异常 java.lang.NumberFormatException: For input string: ""

    问题在访问swagger首页时报错: java.lang.NumberFormatException: For input string: "" at java.lang.Numb ...