admin 管理员组

文章数量: 887007

DASCTF Oct X 吉林工师 欢迎来到魔法世界~(魔法少女杯) web 迷路的魔法少女

这场比赛全是misc,web狗卑微要饭
打开链接,可以得到源码:

我们一步步来看:

1.extract($_GET)

extract函数会将函数的数据进行拆解
效果其实相当于给未声明的变量赋值,给已声明的变量则是重新赋值
如:


<?php
$a = "Original";
$my_array = array("a" => "Cat","b" => "Dog", "c" => "Horse");
extract($my_array);
echo "\$a = $a; \$b = $b; \$c = $c";
?>

结果:

代码来源

和$_GET一起组合的话,就是将所有$_GET的变量组合成一个数组后,再进行拆解操作
效果相当于可以自行创建变量

2.String2Array($data)

常见代码执行漏洞
详情请见
一般来说,利用拼接的方式,让函数执行我们想要的代码
这也基本确定了本题的思路
我们需要拼接出一个形如

$data = "array('a'=>'aaaa','b'=>'222222','c'=>'',111=>phpinfo(),222=>'22'

的数据

3.主体函数部分

要求两个变量attrid和attrvalue
同时is_array用来检测是否为数组
所以我们用attrid[]和attrvalue[]将这两个变量定义为数组变量
注意:
一开始我犯了一个错误,就是误以为只要将attrid=array(“xxx”)的形式,就可以
实际上是不行的,因为这样写的话,attrid应该还是一个字符串变量,只不过字符串是array(“xxx”)

接下来的操作就是把这两个数组参数里的数据,以键值对的方式,整合成一个数组
同时attrid因为有intval过滤所以基本无望,所以可以确定的是通过attrvalue写入我们要的操作
然后交给漏洞函数String2Array($data)

所以接下来就是怎么凑出来这样一个数组

首先在本地上调试了一下,发现基本上经过这样一个流程输出的数组都是双引号
那这样就好办了,我们构造这样一个payload:

?attrid[]=0&attrvalue[]=222",111=>phpinfo(),'222'=>"2

分析一下:
222”闭合前面的原双引号
111=>phpinfo()写入我们要的操作
‘222’=>"2闭合后面的原双引号
这样我们最后得到的attrstr(就是我们要交给漏洞函数的data参数)就是这样的:

array("0"=>"222",111=>phpinfo(),'222'=>"2");

这样就完成了攻击,让我们可以使用phpinfo()
结果:

我们直接ctrl+f搜索flag就可以找到:
东京的马猴烧酒呢

本文标签: DASCTF Oct X 吉林工师 欢迎来到魔法世界~(魔法少女杯) web 迷路的魔法少女

版权声明:本文标题:DASCTF Oct X 吉林工师 欢迎来到魔法世界~(魔法少女杯) web 迷路的魔法少女 内容由网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:http://www.freenas.com.cn/jishu/1732355317h1534266.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。