【Root-Me】 PHP assert()

CTF

原创

发布日期: 2019-07-09

更新日期: 2024-04-10

文章字数: 930

阅读时长: 3 分

阅读次数:

来源：Root-Me
题型：Web-Server
题目：PHP assert()
分数：25 Points

综合题型，做这题需要一定的 PHP 编程基础。此题全程使用 Burp Suite -> Repeater 工具方便调试 payloads 。

首先根据题意，可以知道目标是打开应用根目录下的 .passwd 文件。

搜索一下关于 PHP assert() 的语法，知道其函数定义为：

// $assertion 为固定参数，如果它是字符串，它将会被 assert() 当做 PHP 代码来执行
// 亦即可以通过 assert() 注入 PHP 代码，这是这题的解题关键
bool assert ( mixed $assertion [, string $description ] )

点击挑战页面上的超链，发现 URL 上的请求参数会随之变化 ?page=${input}，尝试直接打开 .passwd 文件，构造 GET 请求参数为 ?page=.passwd，页面会回显报错：'includes/.passwd.php'File does not exist 。

根据这个报错可以知道两个信息：

代码逻辑是在 inlcudes 目录下寻找目标文件
GET 请求参数的拼接方式是 'includes/${input}.php'

为此尝试构造 GET 请求参数为 ?page=../.passwd 进行路径穿越访问，出现检测到 hacking 的报错信息：

Warning: assert(): Assertion "strpos('includes/../.passwd.php', '..') === false" failed in /challenge/web-serveur/ch47/index.php on line 8 Detected hacking attempt!

根据这个报错可以再推断两个信息：

这是 assert() 打印的

可以推断一部分的代码逻辑是这样的：

// ${input} 是我们可以控制的注入位置
assert("strpos('includes/${input}.php', '..') === false")

又由于 assert 会把入参的字符串作为 PHP 代码执行，因此其中的 strpos 函数会被调用，而这个函数的作用明显是检测 ${input} 中是否包含 .. ，有则在页面报错 Detected hacking attempt!，为此可以进一步推测代码逻辑如下：

if (assert("strpos('includes/${input}.php', '..') === false")) {
    // 正常代码
} else {
    // 异常代码：检测到路径穿越
    echo(${input} . " Detected hacking attempt!");
}

为了注入代码，先尝试绕过路径穿越的检测逻辑，为此构造 ${input} 的 payloads 为 ','exp') || strpos(' 令到 if 条件恒真，于是发现新的报错信息 'includes/','exp') || strpos('.php'File does not exist 。

由此可以再进一步推断代码逻辑如下：

if (assert("strpos('includes/${input}.php', '..') === false")) {
    $file = 'includes/${input}.php';
    if (exist($file)) {
        // 正常代码
    } else {
        // 异常代码：文件不存在
        echo($file . " File does not exist");
    }
} else {
    // 异常代码：检测到路径穿越
    echo(${input} . " Detected hacking attempt!");
}