BUUCTF靶场环境:
http://e1a67dac-cd68-4146-869f- 31687fb8832c.node4.buuoj.cn:81/
访问时发现只有一个表情包,果断的去检查网页源码,发现好像这下面有一个标注,尝试去访问看看会不会有惊喜;
根据源码去进行审计分析
条件是file这个参数不为空、是一个字符串并且checkFile函数判断为真,那么会执行include这条语句,否则继续显示笑脸。可以判定这个是一个文件包含的一个题目(特征为include函数可以去根据文件的路径去将文件解析出来显示到页面上)
关于返回true
(1)满足第二部分if语句:file=source.php
(2)满足第三部分if语句:file=source.php?xxxxxxxxx
(3)满足第四部分if语句:file=source.php%253Fxxxxxxx
(如果到第四部分,_page经历了:一次问号截断,一次url解码,一次问号截断)
注:source.php可换成hint.php。
修改URL后缀显示结果
所以大致可以知道source.php后要接?,还有ffffllllaaaagggg。
ffffllllaaaagggg为文件名,中间联系则为路径。/代表返回上级目录。
可以尝试http://e1a67dac-cd68-4146-869f- 31687fb8832c.node4.buuoj.cn:81/ source.php?file=source.php?../ffffllllaaaagggg与多个../一直尝试找下去(可能过程会很痛苦但是做出来了很开心)
原文始发于微信公众号(伞神安全):记CTF首次接触js审计靶场
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论