CTF-Web题解：“require_once(‘flag.php‘)； &assert(“$i == $u“)；”

1.进入环境

进入靶场后看到页面显示代码如下：

2.常规检查

（1）ctrl+u检查页面代码，无明显异常。

（2）目录检查，使用dirsearch进行扫描，发现有flag.php出现。

访问后发现无任何回显，为题目的干扰项。

3.代码审计

接下里对代码进行审计，代码如下：

<?php require_once(\'flag.php\'); error_reporting(0); if(!isset($_GET[\'u\'])){ highlight_file(__FILE__); die(); }else{ $i=$_GET[\'i\']; $u=$_GET[\'u\']; if($_GET[\'u\']!=\"Hello World\"){ die(\'die...\'); } assert(\"$i == $u\"); }

观察发现该代码为php代码，解释如下：

require_once(\'flag.php\')：引入 flag.php 文件，该文件可能包含敏感信息（如 flag）。require_once ：确保文件只被引入一次。error_reporting(0)：关闭所有错误报告，防止敏感信息通过错误信息泄露。if(!isset($_GET[\'u\']))：检查 GET 参数 u 是否存在。highlight_file(__FILE__)：如果 u 不存在，高亮显示当前文件内容（即源码）。die()：终止脚本执行。$i=$_GET[\'i\']：将 GET 参数 i 的值赋给变量 $i。$u=$_GET[\'u\']：将 GET 参数 u 的值赋给变量 $u。if($_GET[\'u\']!=\"Hello World\")：检查 GET 参数 u 的值是否不等于 \"Hello World\"。die(\'die...\')：如果 u 的值不是 \"Hello World\"，终止脚本并输出 die...。assert(\"$i == $u\")：执行断言（assert），检查 $i 是否等于 $u。

代码要求构造一个u，并且u得是Hello World；同时构造一个i，i得等于u。但成功构造后发现无事发生，代码里的逻辑也是，如果满足了这些条件，确实没有任何的回显和输出。
于是考虑在构造过程中加入命令，代码中给出了flag.php，但开头已经访问过了，是空白的，所以可能需要命令执行给打印出来。但是u必须等于Hello World，所以只能在i里面构造。
观察到这里使用了assert函数，能实现比较效果的函数有很多，但为什么偏偏是这个不常见的函数，可能突破点在这里！
查看assert（）的官方解释：

发现这个函数会将里面的参数作为php代码执行！

4.url构造

于是，我们便可以利用i参数来构造命令，同时，在命令后加上注释符号，结束和u的比较。
构造u和i如下:

u=Hello Worldi=system(\'cat flag.php\');//

最后，整个url构造为：

http://靶机地址/?u=Hello World&i=system(‘cat flag.php’);//
访问，发现页面是空白，查看页面代码，找出flag！

最后的flag为：

flag{6833165eb0924067aa6897c389d76f30}

5.总结

本题的难点在于要发现其用了一个不常见的函数来执行比较操作，在有限的信息量下，任何一点可疑的地方都要揪着不放。最终发现了漏洞的所在。