URL 中的十六进制值如何更改文件的路径?

How does the hex value in an URL change the path of the file?

我正在应对 CTF 挑战。这是挑战的 link:Link1

当我尝试将路径更改为 Link2 时。

它成功检索了标志,但是当十六进制值小于 80 时,它不起作用。

我是一个初学者,并且进行了大量挖掘以找出方法,但我找不到任何东西。请问这是怎么回事?

看来挑战是利用 PHP 的 basename() 函数的一个怪癖。 As per the documentation:

Caution: basename() is locale aware, so for it to see the correct basename with multibyte character paths, the matching locale must be set using the setlocale() function.

这意味着如果您向它传递一个包含高于 0x7F 的代码点的字符串,那么它会尝试将它们作为多字节字符处理。因此,将随机字节传递给此函数很可能会使它崩溃。

我将以下脚本上传到服务器进行测试:

<?php

header("Content-Type: text/plain; charset=UTF-8");

echo '$_SERVER["PATH_INFO"] = ';
var_dump($_SERVER['PATH_INFO']);
echo '$_SERVER["PHP_SELF"] = ';
var_dump($_SERVER['PHP_SELF']);
echo 'basename($_SERVER["PHP_SELF"]) = ';
var_dump(basename($_SERVER['PHP_SELF']));

下面是我通过几个选定的请求获得的结果:

GET /index.php?source

$_SERVER["PATH_INFO"] = NULL
$_SERVER["PHP_SELF"] = string(15) "/index.php"
basename($_SERVER["PHP_SELF"]) = string(9) "index.php"

GET /index.php/config.php?source

$_SERVER["PATH_INFO"] = string(11) "/config.php"
$_SERVER["PHP_SELF"] = string(26) "/index.php/config.php"
basename($_SERVER["PHP_SELF"]) = string(10) "config.php"

GET /index.php/config.php/XXX?source

$_SERVER["PATH_INFO"] = string(15) "/config.php/XXX"
$_SERVER["PHP_SELF"] = string(30) "/index.php/config.php/XXX"
basename($_SERVER["PHP_SELF"]) = string(3) "XXX"

GET /index.php/config.php/%F0%9F%98%80?source

$_SERVER["PATH_INFO"] = string(16) "/config.php/"
$_SERVER["PHP_SELF"] = string(31) "/index.php/config.php/"
basename($_SERVER["PHP_SELF"]) = string(10) "config.php"

你会注意到在最后一个例子中,PHP 未能解析 PATH_INFO 字符串末尾的 UTF-8 字符,并默认为 config.php 代替。

因此在您给出的示例中,link 到 /index.php/config.php/%80?source 会导致 $_SERVER["PHP_SELF"]"config.php" 的值。这允许您的查询通过以下测试,因为 $_SERVER['PHP_SELF']\x80 结尾,而不是 /:

if (preg_match('/config\.php\/*$/i', $_SERVER['PHP_SELF'])) {
  exit("I don't know what you are thinking, but I won't let you read it :)");
}

因此您可以从 config.php.

的源代码中获取标志

一个有趣的挑战。


注意:如果您将 PHP 的语言环境设置为接受 UTF-8 字符的内容(例如,setlocale(LC_ALL, 'en_GB.UTF8');),那么它将处理字符正确,但在给定 %80.

等无效代码点时仍会掉落