bugku 聪明的php
题目
打开靶机地址
此处提示需要随意传入一个参数
随机传一个参数,得到源码
发现smarty是个模板,测试一下是不是模板注入
传值?a={{2*2}}测试是否执行
看到被执行了,非常奈斯
存在命令执行漏洞,过滤了不少函数,但看了一下,passthru没有被过滤 这个函数可以代替system()
1、more ./*|grep fla
用来匹配当前目录下,文件内容里有fla的,直接输出文件内容
2、passthru替代system,more替代cat/
3、more命令,功能类似 cat ,cat命令是整个文件的内容从上到下显示在屏幕上。 more会以一页一页的显示方便使用者逐页阅读,而最基本的指令就是按空白键(space)就往下一页显示,按 b 键就会往回(back)一页显示,而且还有搜寻字串的功能 。more命令从前向后读取文件,因此在启动时就加载整个文件。
more命令和cat的功能一样都是查看文件里的内容,但有所不同的是more可以按页来查看文件的内容,还支持直接跳转行等功能。
所以 构造payload=?a={passthru(‘more …/*|grep fla’)}
其中../
改变查看分级目录 最终得到flag