最主要部分,源码审计
"if(!$_GET['id']) //如果无法通过get获得id变量
{
header('Location: hello.php?id=1');//跳转到hello.php文件设置id=1
exit(); //退出脚本。
}
$id=$_GET['id']; //通过get方式获得其他文件的id变量
$a=$_GET['a']; //通过get方式获得其他文件的a变量
$b=$_GET['b']; //通过get方式获得其他文件的b变量
if(stripos($a,'.')) //$a文件中不能有.
{
echo 'no no no no no no no';
return ;
}
$data = @file_get_contents($a,'r'); //将$a文件读入到data中
if($data=="bugku is a nice plateform!" and $id==0 and strlen($b)>5
and eregi("111".substr($b,0,1),"1114") and substr($b,0,1)!=4)
{
$flag = "flag{***********}"
}
else
{
print "never never never give up !!!";
}
$id使用弱类型比较,可以用非空字符绕过。
比如
$id=0y
$id=ergw
$id=%
都可以绕过,利用的就是下图倒数第二列
0和一个字符串比较,结果为true
$b的限制条件:不能以4开头,长度大于5,111+$b的第一个字符和1114匹配。
$b可以被%00、?、*这三种特殊符号绕过,
前者是截断空字符,后两者则是通配符。
比如
$b=%00123456
经过%00截断后,111和1114是匹配的
$b=*123456
111\*和1114是匹配的
$b=?123456
111\?和1114是匹配的
payload
id=yy&a=php://input&b=*123456
post里提交bugku is a nice plateform!