主要考察了:源代码泄露、变量覆盖
共展示了三种获取flag的方式
1、打开题目查看未发现有效信息,查看源代码信息,发现返回的dog信息,结果如下:
![[BJDCTF2020]Mark loves cat-1|源代码泄露|变量覆盖](http://www.itfaba.com/wp-content/themes/kemi/images/loading.gif)
![[BJDCTF2020]Mark loves cat-1|源代码泄露|变量覆盖](http://www.itfaba.com/wp-content/uploads/2022/08/20220817_62fc808f49116.png)
![[BJDCTF2020]Mark loves cat-1|源代码泄露|变量覆盖](http://www.itfaba.com/wp-content/uploads/2022/08/20220817_62fc808f5ed67.png)
2、使用dirmap进行目录扫描,发现了.git/config,那就想到了源代码泄露的问题,使用githack工具获取源代码信息,但是只获取到了一些js文件和图片,未获取到源代码信息,结果如下:
![[BJDCTF2020]Mark loves cat-1|源代码泄露|变量覆盖](http://www.itfaba.com/wp-content/uploads/2022/08/20220817_62fc808f752a4.png)
![[BJDCTF2020]Mark loves cat-1|源代码泄露|变量覆盖](http://www.itfaba.com/wp-content/uploads/2022/08/20220817_62fc808f93e41.png)
3、可以看到可以是存在flag.php、index.php文件的,但是githack并未获取到,因此在网上查找了下相关的源码信息,结果如下:
index.php
<?php $flag = file_get_contents('/flag'); ?>index.php
<?php include 'flag.php'; $yds = "dog"; $is = "cat"; $handsome = 'yds'; foreach($_POST as $x => $y){ $$x = $y; } foreach($_GET as $x => $y){ $$x = $$y; } foreach($_GET as $x => $y){ if($_GET['flag'] === $x && $x !== 'flag'){ exit($handsome); } } if(!isset($_GET['flag']) && !isset($_POST['flag'])){ exit($yds); } if($_POST['flag'] === 'flag' || $_GET['flag'] === 'flag'){ exit($is); } echo "the flag is: ".$flag;4、对源代码进行审计分析,定义了三个变量并对三个变量进行了输出,但是我们想要的是输出flag的值,这里就想到了变量覆盖的问题,源代码中存在多个变量输出的地方,应该是都可以覆盖成flag进行输出,那就从第一个开始进行分析,代码如下:
foreach($_GET as $x => $y){ if($_GET['flag'] === $x && $x !== 'flag'){ //传入的变量为flag value不是flag exit($handsome); } }我们想要输出flag值就需要$handsome=$flag,这样exit($handsome)才能输出exit($flag),这个条件又要求get方式传递flag值($y)需要能等于传递的参数$X并且不等于flag(这里可以确定一定不是一个参数但是可以确定一个参数是flag),加上$handsome=$flag,所以猜测$x=$handsome(那这里就确定了另外一个参数和flag参数的值),在考虑到刚刚说的:$handsome=$flag,所以这里也确定了handsome参数的值,所以最终的payload应该是:?handsome=flag&flag=handsome。
5、输出payload查看返回信息的源代码发下flag值,结果如下:
![[BJDCTF2020]Mark loves cat-1|源代码泄露|变量覆盖](http://www.itfaba.com/wp-content/uploads/2022/08/20220817_62fc808fda2d6.png)
6、那分析第二个输出的变量,代码如下:
if(!isset($_GET['flag']) && !isset($_POST['flag'])){ exit($yds); }这里要求不存在flag参数,就绕过了上面第一个输出,并且最终输出的是$yds,那我们就需要使$yds=$flag,这里传递参数后会执行下面的代码:
foreach($_GET as $x => $y){ $$x = $$y; //GET型变量重新赋值为当前文件变量中以其值为键名的值 }查看这个代码,我们最终需要的这个代码形成$yds=$flag,那就是$x=yds,$y=flag,因此这里的fpayload:?yds=flag。
7、输入payload查看返回信息的源代码发下flag值,结果如下:
![[BJDCTF2020]Mark loves cat-1|源代码泄露|变量覆盖](http://www.itfaba.com/wp-content/uploads/2022/08/20220817_62fc809026cb3.png)
8、那分析第三个输出的变量,代码如下:
if($_POST['flag'] === 'flag' || $_GET['flag'] === 'flag'){ exit($is); }这里传递方式有两种get和post,不同的传参方式可能不太一样,这里就以get方式来说,这里要求我们传递flag参数并且其值也为flag,最终输出的exit($is)我们想要exit($flag),那就需要$is=$flag,这里仍会执行下面这个函数:
foreach($_GET as $x => $y){ $$x = $$y; //GET型变量重新赋值为当前文件变量中以其值为键名的值 }所以我们就需要传递两个参数:一个flag=flag,一个is=flag,所以payload:is=flag&flag=flag。
9、输入payload查看返回信息的源代码发下flag值,结果如下:
![[BJDCTF2020]Mark loves cat-1|源代码泄露|变量覆盖](http://www.itfaba.com/wp-content/uploads/2022/08/20220817_62fc809064f58.png)
