解题一:信息泄露
.git泄露:dirsearch扫描都是推荐低线程哈-s 1,然后githack下载源码
解题二:可变变量的覆盖问题
index.php源码泄露:
<?php
include 'flag.php';
$yds = "dog";
$is = "cat";
$handsome = 'yds';
foreach($_POST as $x => $y){
#post出入参数:?test=123将这种格式
$$x = $y; #若传入x=y,则$x=y
$test=123;
}
foreach($_GET as $x => $y){
$$x = $$y; #若传入x=y,则$x=$y
$test=$123
}
foreach($_GET as $x => $y){
if($_GET['flag'] === $x && $x !== 'flag'){
exit($handsome);//遍历传入的get参数,当参数的key名不是flag,且key名为flag的value又要等于当前的key,即当存在key!='flag',而flag=key
}
}
if(!isset($_GET['flag']) && !isset($_POST['flag'])){
exit($yds);#没有设置flag则进入
}
if($_POST['flag'] === 'flag' || $_GET['flag'] === 'flag'){
exit($is);#设置了flag键值即进入
}
echo "the flag is: ".$flag;
?>
考点:
$$ 导致的变量覆盖问题在CTF代码审计题目中经常在foreach中出现。
使用foreach来遍历数组中的值,然后再将获取到的数组键名作为变量,数组中的键值作为变量的值。
因此就产生了变量覆盖漏洞。请求?name=test 会将$name的值覆盖,变为test。
因为最后一句话表明确确实实存在$flag,所以利用变量覆盖将exit中的任何一个变量变为$flag即可实现flag的输出,所以这里用三种覆盖的选择:
第一种覆盖$handsome:
因为条件矛盾,要求我key值为flag,还要求我key值不能为flag。
将键值变成为$handsome=flag利用get的覆盖变量后变成$handsome=$flag,此时$handsome的值已经变成了我们需要的flag,然后flag=handsome再来一次覆盖这样$handsome的变量值为flag的值同时$flag也是flag,同时也满足了key值传入的key值为flag 的value等于handsome,同时,而传入的key值为handsome 的也等于flag也就实现了绕过~
第二种覆盖$yds:
不论是get还是post传参key值都不能为flag,这是可以出现这种形式:$yds=$flag,也就是利用所说的变量覆盖,来实现$flag的调用
第三种覆盖$is:
要求post传入的key值为flag或者get传入的key值为flag。所以利用get进行覆盖:flag=flag&is=flag,利用$flag把$is给覆盖
而此题主要利用的覆盖点在于$$x=$$y