buuctf Mark loves cat
打开是个静态页面,源码也无任何有用信息
dirsearch扫描后发现.git泄露
GitHack.py下载得到两个php文件,接下来就是代码审计:
flag.php:
<?php
$flag = file_get_contents('/flag');
index.php:
<?php
include 'flag.php';$yds = "dog";
$is = "cat";
$handsome = 'yds';foreach($_POST as $x => $y){
$$x = $y;
}foreach($_GET as $x => $y){
$$x = $$y;
}foreach($_GET as $x => $y){
if($_GET['flag'] === $x && $x !== 'flag'){
exit($handsome);}
}if(!isset($_GET['flag']) && !isset($_POST['flag'])){
exit($yds);
}if($_POST['flag'] === 'flag' || $_GET['flag'] === 'flag'){
exit($is);
}echo "the flag is: ".$flag;
审计分析
第1条foreach语句,将POST的参数进行变量覆盖
第2条foreach语句,将GET的参数进行变量覆盖,与第1条有点区别是第1个的键值是 y , 第 2 个 的 键 值 是 y,第2个的键值是 y,第2个的键值是 y 其 中 有 两 个 能 利 用 变 量 覆 盖 输 出 f l a g , 也 就 是 说 有 两 种 方 法 第 二 个 i f 语 句 中 可 以 看 到 这 里 是 输 出 的 y 其中有两个能利用变量覆盖输出flag,也就是说有两种方法 第二个if语句中可以看到这里是输出的 y其中有两个能利用变量覆盖输出flag,也就是说有两种方法第二个if语句中可以看到这里是输出的yds变量,那么我们就要通过变量覆盖达到 y d s = yds= yds=flag的效果,GET传参yds=flag,在第二个foreach语句中,首先是 x = y d s , x=yds, x=yds,y=flag,经过 x = x = x=y也就变成了 y d s = yds= yds=flag
就可以利用exit( y d s ) 将 原 来 的 yds)将原来的 yds)将原来的flag输出
so payload:
GET: ?yds=flag
总结:
git源码泄露;(dirsearch扫描,GitHack.py下载)
$$导致变量覆盖漏洞