1.打开环境,在源码处有提示。
2.进入.mp3发现源码
sha2和md5相似,弱相等能用数组绕过,
第一个hash_hmac的密钥是环境变量clandestine的值,如果data传入的值为数组,那么就会返回NULL
那么第二个hash_hmac的密钥就是NULL,返回的值就只跟data有关,就是我们可控的了
可以本地执行hash_hmac函数,然后让$_POST['Black-Cat-Sheriff']
的值等于他就行
最后的命令执行这里出不了网,使用;来执行多条命令
还用了echo,是有回显的,但是exec只返回命令执行结果的最后一行内容。
ls是多行显示,所以只能显示一行的内容
这里使用dir来显示文件夹内容
payload:
Black-Cat-Sheriff=269afa1c6d77e37919c94f9c75a028819193c7b51aee2d46222cda81fe154538&One-ear=;tac f*|grep \{&White-cat-monitor[]=3
#用grep匹配