这场比赛全是misc,web狗卑微要饭
打开链接,可以得到源码:
我们一步步来看:
1.extract($_GET)
extract函数会将函数的数据进行拆解
效果其实相当于给未声明的变量赋值,给已声明的变量则是重新赋值
如:
<?php
$a = "Original";
$my_array = array("a" => "Cat","b" => "Dog", "c" => "Horse");
extract($my_array);
echo "\$a = $a; \$b = $b; \$c = $c";
?>
结果:
代码来源
和$_GET一起组合的话,就是将所有$_GET的变量组合成一个数组后,再进行拆解操作
效果相当于可以自行创建变量
2.String2Array($data)
常见代码执行漏洞
详情请见https://blog.csdn.net/weixin_36440677/article/details/115629343
一般来说,利用拼接的方式,让函数执行我们想要的代码
这也基本确定了本题的思路
我们需要拼接出一个形如
$data = "array('a'=>'aaaa',
'b'=>'222222',
'c'=>'',111=>phpinfo(),222=>'22'
的数据
3.主体函数部分
要求两个变量attrid和attrvalue
同时is_array用来检测是否为数组
所以我们用attrid[]和attrvalue[]将这两个变量定义为数组变量
注意:
一开始我犯了一个错误,就是误以为只要将attrid=array(“xxx”)的形式,就可以
实际上是不行的,因为这样写的话,attrid应该还是一个字符串变量,只不过字符串是array(“xxx”)
接下来的操作就是把这两个数组参数里的数据,以键值对的方式,整合成一个数组
同时attrid因为有intval过滤所以基本无望,所以可以确定的是通过attrvalue写入我们要的操作
然后交给漏洞函数String2Array($data)
所以接下来就是怎么凑出来这样一个数组
首先在本地上调试了一下,发现基本上经过这样一个流程输出的数组都是双引号
那这样就好办了,我们构造这样一个payload:
?attrid[]=0&attrvalue[]=222",111=>phpinfo(),'222'=>"2
分析一下:
222”闭合前面的原双引号
111=>phpinfo()写入我们要的操作
‘222’=>"2闭合后面的原双引号
这样我们最后得到的attrstr(就是我们要交给漏洞函数的data参数)就是这样的:
array("0"=>"222",111=>phpinfo(),'222'=>"2");
这样就完成了攻击,让我们可以使用phpinfo()
结果:
我们直接ctrl+f搜索flag就可以找到:
东京的马猴烧酒呢
514
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
