寻找敏感目录,了解文件备份
扫到www.zip
-
1.代码审计
-
2.反序列化逃逸
1.代码审计
seay源代码审计系统
profile.php
利用反序列读取文件
config.php
发现flag
updata.php
文件上传,,phone和email均通过if进行了严格的输入控制,但nickname可控,可以strlen可以通过数组绕过
class.php
filter过滤
利用逃逸原理:
想办法使$profile[‘photo’]等于config.php,然后利用文件读取获得config.php中的内容。
根据原理,需要构建出";}s:5:"photo";s:10:"config.php";}
,一共34个字符,所以要使闭合,长度要增加34,利用filter函数,如果我们输入白名单里的字符,例如where,会被替换成hacker,占一个字符
构建pyload:wherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewhere";}s:5:"photo";s:10:"config.php";}
修改nickname为nickname[]绕过strlen
访问profile.php,查看图片源代码,base64解码,得到flag。