平台:buuoj.cn
打开靶机
先扫目录,发现git泄露
githack下下来
看下这两个php文件
flag.php读取flag,index.php前端代码后php关键代码如下
<?php
include 'flag.php';
$yds = "dog";
$is = "cat";
$handsome = 'yds';
foreach($_POST as $x => $y){
$$x = $y;//把post传入的变量x前添加$
}
foreach($_GET as $x => $y){
$$x = $$y;//把get传入的x,y前添加$
}
foreach($_GET as $x => $y){
if($_GET['flag'] === $x && $x !== 'flag'){
exit($handsome);//判断get传进来的值是否等于flag
}
}
if(!isset($_GET['flag']) && !isset($_POST['flag'])){
exit($yds);//不传入flag则输出$yds
}
if($_POST['flag'] === 'flag' || $_GET['flag'] === 'flag'){
exit($is);//get和post不能传flag=flag
}
echo "the flag is: ".$flag;%
考点是变量覆盖漏洞
先了解下概念:
$$这种写法称为可变变量,一个可变变量获取了一个普通变量的值作为这个可变变量的变量名。
使用foreach来遍历数组中的值,然后再将获取到的数组键名作为变量,数组中的键值作为变量的值。因此就产生了变量覆盖漏洞。
引用个例子:
<?php
foreach ($_GET as $key => $value) {
${$key} = $value;
}
echo $a;
?>
传入的数据$key和$value,${$key}用了get传进来的$key做为新的变量,之后再将get传进来的$value赋值给它。假如?a=1 经过覆盖就会解析为$a=1。就造成了变量覆盖。
解题
感觉有点绕,但通过flag.php,我们知道是要get传入一个$flag,post一个flag,这样,就能$flag = file_get_contents(’/flag’);
那么先看get吧,首先我们传入一个yds=flag
$$x = $$y之后就变成了$yds=$flag,$flag就是我们要得到flag的值
再post一个$flag=flag
post经过$$x = $y变成了$$flag = flag
由于
只要get和post没有$flag参数,就输出$yds,我们传入的值为
get:yds
post: $flag
实际被覆盖之后是
get:$yds
post:$$flag
满足没有$flag的条件
因此可以exit($yds)
而$yds=$flag,$$flag=flag
最终就可以执行$flag = file_get_contents(’/flag’);
把值传上去得到flag
2579
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
