fmyyy1的博客

这次ciscn有一道web题考的就是这个知识点，但当时没有尝试去扫路径，被开头给的源码卡死了有点儿遗憾，不过还是想自己复现一下这个小trick。先来看看php手册对此的描述。我们可以post session.upload_progress参数，写入木马。这个选项可以让我们自己定义文件名。例如，控制phsession=flag，则文件名就变为/tmp/sess_flag这里还有一个配置选项是默认开启的session.upload_progress.cleanup,这个选项会让post进程结束时

场景抓个包看到直接给出了sql语句，测试之后发现很难饶过，访问register.php注册账号进入。url里的page参数很容易想到文件读取，用伪协议读源码。php://filter/read=convert.base64-encode/resource=user主要是user.php和function.phpuser.php<?phprequire_once("function.php");if( !isset( $_SESSION['user'] )){ Header

点击readsomething后链接到了百度，同时url里多了url参数，猜测存在任意文件读取。尝试/etc/passwd成功读取，读取/proc/self/cmdline查看当前进程知道是python的后台，源码在/api/app.py下，读源码# encoding:utf-8import re, random, uuid, urllibfrom flask import Flask, session, requestapp = Flask(__name__)random.see.

直接读源码抓包直接传递hash值?pass=fa25e54758d5d5c1927781a6ede89f8a看到响应中多了内容访问后看到是文件包含用伪协议读flflflflag.php<html><head><script language="javascript" type="text/javascript"> window.location.href="404.html";</script><tit

读源码用get的方式提交参数，猜测存在文件读取。传flag真就读到flag了，但肯定是非预期，参考wp。我们都知道可以通过/proc/\$pid/来获取指定进程的信息，例如内存映射、CPU绑定信息等等。如果某个进程想要获取本进程的系统信息，就可以通过进程的pid来访问/proc/$pid/目录。但是这个方法还需要获取进程pid，在fork、daemon等情况下pid还可能发生变化。为了更方便的获取本进程的信息，linux提供了/proc/self/目录，这个目录比较独特，不同的进程访问该目录时获得

题目场景可以读到源码<?phpinclude 'config.php'; // FLAG is defined in config.phpif (preg_match('/config\.php\/*$/i', $_SERVER['PHP_SELF'])) { exit("I don't know what you are thinking, but I won't let you read it :)");}if (isset($_GET['source'])) { hig