题目给出的内容如图:
一通点击后,发现链接中出现page=***的字样,说明page传参是重点,是问题的突破口。
0x02_1. 使用dirsearch扫描看看
可以发现有很多.git文件,说明存在git泄露。。。
0x02_2. 使用githack拉下来源码
在这里,我们需要githack工具将代码拉下来,如图:
0x02_3. 代码审计
我们挑选重要代码,查看index.php,如下:
if (isset($_GET['page'])) {$page = $_GET['page'];} else {$page = "home";}$file = "templates/" . $page . ".php";// I heard '..' is dangerous!assert("strpos('$file', '..') === false") or die("Detected hacking attempt!");// TODO: Make this look niceassert("file_exists('$file')") or die("That file doesn't exist!");?>
可以看到,使用page传递参数,接着使用file进行拼接,最后使用assert断言进行执行相关程序。
在这里,我们需要熟悉几个函数。
strpos() 函数查找字符串在另一字符串中第一次出现的位置,如果没有找到字符串则返回 FALSE。
语法:strpos(string,find,start)
参数 描述
string 必需。规定要搜索的字符串。
find 必需。规定要查找的字符串。
start 可选。规定在何处开始搜索。
file_exists() 函数检查文件或目录是否存在
如果指定的文件或目录存在则返回 true,否则返回 false。
PHP5: assert ( mixed $assertion [, string $description ] ) : bool
PHP7: assert ( mixed $assertion [, Throwable $exception ] ) : bool
assert() 会检查指定的 assertion 并在结果为 FALSE 时采取适当的行动
在这里,如果assertion是字符串,他会被assert()当做php代码执行。 思路是通过可控变量file传入恶意参数,构造闭合 file_exists(),使assert()执行恶意代码。
0x02_4. 构造payload
我们尝试使用:
page=') or phpinfo();//
发现直接回显内容如图:
因为file有构造templates,猜测flag可能位于templates目录下,我们继续构造payload,如下:
page=') or system("cat templates/flag*");//
回显无内容,实际上是被注释了,我们F12查看控制台回显,如图:
来源地址:https://blog.csdn.net/l8947943/article/details/126280784