最近在强网杯上遇到RPO的题，懵逼好久。

0x00概述

浏览器解析页面路径有误而导致css文件加载路径错误，从而引发的任意解析。

关键点：上传css的点，利用的是PHPinfo模式

0x01 PHPinfo模式

PHPinfo模式上传URL的本意是为了使原本长段的URL变得简洁。每当你访问一个网站必然带有一长串参数，但是太长又显得不太友好，参数还需要使用&来分割开，参数一多，就显得相当复杂。然而PathInfo模式功能就是将这一长串缩短简化，让这个路径变得更加友好的显示。

传统的访问路径是这样子的：

http://www.example.com/index.php?m=module&c=controller&a=action&var1=vaule1&var2=vaule2.....

而PHPinfo的URL模式下能够做到这样子的路径:

http://www.example.com/index.php?module/controller/action/var1/vaule1/var2/value2.....

两者相比较很容易就得出结论：PathInfo模式下的访问路径显示更加友好。
下为实现pathinfo的一个简易demo

$arr=isset($_SERVER['PATH_INFO'])?explode('/',trim($_SERVER['PATH_INFO'],'/')):null;
//var_dump($arr);
//echo $arr
$value='';
for($_=0;$_<count($arr);$_+=2)
{
    $value[$arr[$_]] = $arr[$_+1];
}
$value['country']=isset($value['country'])?$value['country']:null;

0x02漏洞原理

假设style.css文件为

h1 {
font-size:180px;
color:blue;
}

当css文件以相对路径被加载的时候

<link rel="stylesheet" href="./style.css" style="css" />

因为传参是用反斜杠来实现的，所以正常打开页面是没有问题的

image

但是当我们上传参数的时候，浏览器与服务器端对URL的解析就会不同

7e2785d1ly1fevjctwms8j20p108v0sx.jpg

浏览器误以为我们参数的键/country/是一个实际的路径，从而导致实际加载的css文件路径就成了

http://localhost/hello/url.php/country/style.css

服务端收到的请求会认为请求/country/style.css是一个键为country值为style.css的参数，从而返回页面,这样返回的页面会直接加载构造好的css文件。

之后的利用可以结合xss来做了。