[BJDCTF2020]Mark loves cat

非常好看的前端。可以从链接中看到有get传参message,但是尝试了几个值页面并没有变化。另外还注意到当前文件是index.html,而不是php文件。抓包看一下请求格式,没有发现。突然看到响应最后有个dog,题目叫做Mark loves cat,难道说需要让回显是cat?

目录扫描一下试试,没有发现。没思路了,直接看答案...

啥玩意?存在git泄露,我这dirsearch恐怕是假的,看来以后还是得用kali里面的。

使用scrabble获取泄露的文件,直接得到index.php。

git泄露知识见git泄露(一篇文章就够了)-CSDN博客

php 复制代码
<?php

include 'flag.php';

$yds = "dog";
$is = "cat";
$handsome = 'yds';

foreach($_POST as $x => $y){
    $$x = $y;
}

foreach($_GET as $x => $y){
    $$x = $$y;
}

foreach($_GET as $x => $y){
    if($_GET['flag'] === $x && $x !== 'flag'){
        exit($handsome);
    }
}

if(!isset($_GET['flag']) && !isset($_POST['flag'])){
    exit($yds);
}

if($_POST['flag'] === 'flag'  || $_GET['flag'] === 'flag'){
    exit($is);
}



echo "the flag is: ".$flag;

x表示什么?下面这些代码是什么意思? > foreach($_POST as $x =\> $y){ > > $ $x = $y; > > } > > foreach($_GET as $x =\> $y){ > > $ $x = $ $y; > > } $$x表示以$x为变量名的变量,即一个可变变量。数组中$x =\> $y表示键和值,因此第一部分代码的意思是根据POST的数组,将每一个键设置成一个变量,变量值设置为键值, **假如POST: flag = a , 则$flag = 'a'**。 第二部分代码的意思是设置两个可变变量,分别以GET数组中的键和值为变量名, **假如GET: flag = a , 则$flag = $a** > foreach($_GET as $x =\> $y){ > > if($_GET\['flag'\] === $x \&\& $x !== 'flag'){ > > exit($handsome); > > } > > } > > 假如$_GET\['a'\]='b',由于'a' !== 'flag',那么$_GET\['flag'\]不能等于'a' > if(!isset($_GET\['flag'\]) \&\& !isset($_POST\['flag'\])){ > > exit($yds); > > } > > if($_POST\['flag'\] === 'flag' \|\| $_GET\['flag'\] === 'flag'){ > > exit($is); > > } > > 必须通过GET或POST传参flag,且值不能等于flag 但是怎么读取flag呢?可以看到代码中include 'flag.php'但是怎么读取该文件?利用echo "the flag is: ".$flag;吗?这个语句会解析$flag变量,难道flag.php中是有$flag的?这样的话我们必须保证不能在创建变量的时候丢失该变量值。 POST方式肯定不行,用GET方式尝试: 假如**GET:?a=flag\&flag=a** 就会先创建变量$a = $flag,然后$flag = $a,好像是可以的。试试看,输出yds,失败了。哦对,是因为$_GET\['flag'\]==='a'\&\&'a'!=='flag',说明不能通过这样传递的方式获得flag。那可不可以用 **?flag=flag** 呢,输出cat,失败了。哦对,是因为$_GET\['flag'\] === 'flag'。好两个炸弹全踩过了,再来一种方法就解决了。但是除了直接赋值和传递赋值没有什么其他办法了...欸不对,这边用的是强比较,?a=flag\&flag=a中把a换成是其他类型数据可以吗?尝试一下数字 **?0=flag\&flag=0** 成功啦!!!!! 总结一下:以后目录扫描得直接用kali里面的dirsearch,虽然速度慢点但是不会出错。另外就是很多题中找不到线索的题目都有源码泄露,因此熟练掌握源码泄露知识很重要。还有就是弱比较可以绕过,同样强比较也能绕过!因此下次看见强比较就要想到利用不同类型数据绕过。

相关推荐
Acc1oFl4g4 小时前
【铸网-2025】线下赛 web 详细题解
web安全·ctf·php反序列化
趙卋傑16 小时前
项目发布部署
linux·服务器·后端·web
带刺的坐椅1 天前
Solon v3.4.6, v3.5.4, v3.6.0-M1 发布。正式开始 LTS 计划
java·spring·ai·web·solon·mcp
OEC小胖胖2 天前
SEO 优化:元数据 (Metadata) API 和站点地图 (Sitemap) 生成
前端·javascript·前端框架·html·web·next.js
WayneJoon.H3 天前
CTFSHOW 中期测评(二)web502 - web516
安全·网络安全·php·web·ctf
ftpeak12 天前
从零开始使用 axum-server 构建 HTTP/HTTPS 服务
网络·http·https·rust·web·web app
fanged12 天前
Cesium4--地形(OSGB到3DTiles)
3d·gis·web
三角叶蕨12 天前
javaweb CSS
css·web
OEC小胖胖12 天前
App Router vs. Pages Router:我应该如何选择?
开发语言·前端·前端框架·web·next.js
脑子慢且灵14 天前
[JavaWeb]模拟一个简易的Tomcat服务(Servlet注解)
java·后端·servlet·tomcat·intellij-idea·web