考点:
1.git泄露
2.变量覆盖
1.打开靶机,先看robots.txt,并用dirsearch进行扫描
py dirsearch.py -u f190ddaf-3db0-48c2-a858-4accf0783a69.node4.buuoj.cn:81/ -e * -t 1 -x 429(使用dirsearch时,一定要设置好线程,不然扫不出来)
扫描发现错在.git泄露
2.利用githack把git文件抓下来
python2 GitHack.py http://f190ddaf-3db0-48c2-a858-4accf0783a69.node4.buuoj.cn:81/.git/(githack支持python2,另外在使用githack时要在url后面加上.git)
(我抓出来index.php和flag.php,但是抓不到本地,我试了好几次才行的,应该和网有关系)
3.扫描的同时,看看文件有没有注入点,看contact下面有message,尝试了基础注入,没再试,正好扒出来.git了,估计漏洞不在这,就没继续试
4.index.php的关键代码如下
<?php
include 'flag.php';
$yds = "dog";
$is = "cat";
$handsome = 'yds';
foreach($_POST as $x => $y){
$$x = $y;
}
foreach($_GET as $x => $y){
$$x = $$y;
}
foreach($_GET as $x => $y){
if($_GET['flag'] === $x && $x !== 'flag'){
exit($handsome);
}
}
if(!isset($_GET['flag']) && !isset($_POST['flag'])){
exit($yds);
}
if($_POST['flag'] === 'flag' || $_GET['flag'] === 'flag'){
exit($is);
}
echo "the flag is: ".$flag;进行代码审计:
echo "the flag is: ".$flag;
//提示flag就是$flag,输出$flag就可往上推,发现输出点在exit()函数里面,在两个if语句里最后令is=flag和yds=flag,将这两个参数放在代码中顺一遍,看是否能执行到
a.is=flag? foreach进行遍历,存在变量覆盖$$x=$$y ->$is=$flag(变量覆盖,is的值不再是cat),进入
? if判断,需要传参数,有两种方法既可以在get里加上flag=flag,也可以在post里加
b.yds=flag,这个比较好理解了,把flag给到了yds
?