[BJDCTF2020]Mark loves cat(3种解法)

练习靶场:BUUCTF   题目搜索:[BJDCTF2020]Mark loves cat

靶机启动后的界面

[BJDCTF2020]Mark loves cat(3种解法)_第1张图片

 步骤1:我们使用工具dirsearch扫描目录,观察是否有信息泄露

python dirsearch.py  -u  http://cee8e5a5-0b3c-4f0c-a6ef-eed29719e632.node4.buuoj.cn:81/ 

[BJDCTF2020]Mark loves cat(3种解法)_第2张图片

 结论存在Git泄露,我们使用工具GitHack获取信息,得到一个index.php

 $y){  #foreach进行循坏,遍历POST,将数组中的值赋值给$y
    $$x = $y;
}
foreach($_GET as $x => $y){   #foreach进行循坏,遍历GET,将数组中的值赋值给$y
    $$x = $$y;
}
#满足以下几个条件
foreach($_GET as $x => $y){
    if($_GET['flag'] === $x && $x !== 'flag'){#不能同时flag的值等于某个键名,那个键又是flag
        exit($handsome);
    }
}  
if(!isset($_GET['flag']) && !isset($_POST['flag'])){  #不能同时GET和POST都设置flag
    exit($yds);
}
if($_POST['flag'] === 'flag'  || $_GET['flag'] === 'flag'){  #任意都能满足flag==='flag'
    exit($is);
}
echo "the flag is: ".$flag;

(1)exit()函数

exit函数的作用是输出一则消息并且终止当前脚本。 如果一段文本中包括多个以 ?>结束的脚本,则exit退出当前所在脚本,exit()函数这里存在一个突破点

(2)foreach函数

[BJDCTF2020]Mark loves cat(3种解法)_第3张图片

 foreach()函数这里存在了变量覆盖

解法1:$handsome

第一个if语句中输出变量$handsome,满足条件$_GET['flag'] == = $x && $x !=== 'flag',构造如下

?handsome=flag&flag=b&b=flag
?handsome=flag&flag=handsome

[BJDCTF2020]Mark loves cat(3种解法)_第4张图片

 解法2:$yds

第二个if语句中输出的$yds变量,我们需要通过变量覆盖达到$yds=$flag的效果,GET传参yds=flag,在第二个foreach语句中,首先是$x=yds,$y=flag,经过$$x = $$y也就变成了$yds=$flag,如下: 

 /?yds=flag

[BJDCTF2020]Mark loves cat(3种解法)_第5张图片

解法3:$is

第三个if语句中输出变量$is,判断条件为$_POST['flag'] === 'flag' || $_GET['flag'] === 'flag',这里可以通过满足后面这个条件进行变量覆盖:GET传参is=flag&flag=flag;在第二个foreach语句中,首先是$x=is,$y=flag,带进去就变成了$is=$flag,这就达到了覆盖的目的,而参数中flag=flag只是为了满足if语句 

  /?is=flag$flag=flag

[BJDCTF2020]Mark loves cat(3种解法)_第6张图片

 

你可能感兴趣的:(安全渗透,CTF,php,http,apache,nginx)