web buuctf [BJDCTF2020]Mark loves cat1

考点：

1.git泄露

2.变量覆盖

1.打开靶机，先看robots.txt,并用dirsearch进行扫描

 py dirsearch.py -u f190ddaf-3db0-48c2-a858-4accf0783a69.node4.buuoj.cn:81/ -e * -t 1 -x 429

（使用dirsearch时，一定要设置好线程，不然扫不出来）

扫描发现错在.git泄露

2.利用githack把git文件抓下来

 python2 GitHack.py http://f190ddaf-3db0-48c2-a858-4accf0783a69.node4.buuoj.cn:81/.git/

（githack支持python2，另外在使用githack时要在url后面加上.git）

（我抓出来index.php和flag.php，但是抓不到本地，我试了好几次才行的，应该和网有关系）

3.扫描的同时，看看文件有没有注入点，看contact下面有message，尝试了基础注入，没再试，正好扒出来.git了，估计漏洞不在这，就没继续试

4.index.php的关键代码如下

 $y){
    $$x = $y;
}

foreach($_GET as $x => $y){
    $$x = $$y;
}

foreach($_GET as $x => $y){
    if($_GET['flag'] === $x && $x !== 'flag'){
        exit($handsome);
    }
}

if(!isset($_GET['flag']) && !isset($_POST['flag'])){
    exit($yds);
}

if($_POST['flag'] === 'flag'  || $_GET['flag'] === 'flag'){
    exit($is);
}



echo "the flag is: ".$flag;

进行代码审计：

echo "the flag is: ".$flag;  
//提示flag就是$flag，输出$flag就可

往上推，发现输出点在exit()函数里面，在两个if语句里最后令is=flag和yds=flag，将这两个参数放在代码中顺一遍，看是否能执行到

a.is=flag  foreach进行遍历，存在变量覆盖$$x=$$y ->$is=$flag(变量覆盖,is的值不再是cat)，进入

  if判断，需要传参数，有两种方法既可以在get里加上flag=flag，也可以在post里加

b.yds=flag，这个比较好理解了，把flag给到了yds