[BJDCTF2020]Mark loves cat细节详解建议收藏(代码审计一)

解题一:信息泄露

.git泄露:dirsearch扫描都是推荐低线程哈-s 1,然后githack下载源码

解题二:可变变量的覆盖问题

index.php源码泄露:

<?php

include 'flag.php';

$yds = "dog";
$is = "cat";
$handsome = 'yds';

foreach($_POST as $x => $y){ #post出入参数:?test=123将这种格式
    $$x = $y; #若传入x=y,则$x=y
    $test=123;
}

foreach($_GET as $x => $y){
    $$x = $$y;   #若传入x=y,则$x=$y
    $test=$123
}

foreach($_GET as $x => $y){
    if($_GET['flag'] === $x && $x !== 'flag'){
        exit($handsome);//遍历传入的get参数,当参数的key名不是flag,且key名为flag的value又要等于当前的key,即当存在key!='flag',而flag=key
    }
}

if(!isset($_GET['flag']) && !isset($_POST['flag'])){
    exit($yds);#没有设置flag则进入
}

if($_POST['flag'] === 'flag'  || $_GET['flag'] === 'flag'){
    exit($is);#设置了flag键值即进入
}

echo "the flag is: ".$flag;

?>

考点:

$$ 导致的变量覆盖问题在CTF代码审计题目中经常在foreach中出现。

使用foreach来遍历数组中的值,然后再将获取到的数组键名作为变量,数组中的键值作为变量的值。

因此就产生了变量覆盖漏洞。请求?name=test 会将$name的值覆盖,变为test。

因为最后一句话表明确确实实存在$flag,所以利用变量覆盖将exit中的任何一个变量变为$flag即可实现flag的输出,所以这里用三种覆盖的选择:

第一种覆盖$handsome:

因为条件矛盾,要求我key值为flag,还要求我key值不能为flag。

将键值变成为$handsome=flag利用get的覆盖变量后变成$handsome=$flag,此时$handsome的值已经变成了我们需要的flag,然后flag=handsome再来一次覆盖这样$handsome的变量值为flag的值同时$flag也是flag,同时也满足了key值传入的key值为flag 的value等于handsome,同时,而传入的key值为handsome 的也等于flag也就实现了绕过~

第二种覆盖$yds:

不论是get还是post传参key值都不能为flag,这是可以出现这种形式:$yds=$flag,也就是利用所说的变量覆盖,来实现$flag的调用

第三种覆盖$is:

要求post传入的key值为flag或者get传入的key值为flag。所以利用get进行覆盖:flag=flag&is=flag,利用$flag把$is给覆盖

而此题主要利用的覆盖点在于$$x=$$y

  • 6
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Yn8rt

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值