[GFCTF 2021]web部分题解（更新中ing）

[GFCTF 2021]Baby_Web

拿源码环节：

打开环境(◡ᴗ◡✿)

乍一看什么都没有，F12下没看到js文件，但是看到了出题师傅的提示：“源码藏在上层目录xxx.php.txt里面，但你怎么才能看到它呢?”

这时候在思考文件在上层目录中，既然是目录下那就试一下dirsearch扫描先看看后台都有什么（这里就直接展示一下扫描结果，收到了一部分新师傅的私信说之前的题解虽然讲了在那些题目下Kali，bp的使用方法但是没说具体的，后边会单独出教程的T-T这里就不多说了）

这里出现了几个很重要的关键词“cgi-bin”“.%2e”想到了之前偶然间看到的两篇博客：“CVE-2021-41773--Jay 17”“Apache httpd CVE-2021-41773 漏洞分析”简单来说就是：在 Apache HTTP Server 2.4.49 版本中，在对用户发送的请求中的路径参数进行规范化时， ap_normalize_path()函数会对路径参数先进行 url 解码，然后判断是否存在 ../路径穿越符。结果就是如果路径中存在 %2e./形式，程序就会检测到路径穿越符。然而，当出现 .%2e 或 %2e%2e/ 形式，程序就不会将其检测为路径穿越符。那么就可以活用到这道题目。
打开BP，本地环境修改以后刷新网页进行抓包(ρ_・).。：

在发包界面点击Repeater，进入可修改发包界面，在url栏修改代码然后发包：

1. GET /icons/.%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd HTTP/1.1

复制代码

代码形式参考kali扫描结果！^_~

修改成下图：

1. GET /cgi-bin/.%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd HTTP/1.1

复制代码

可以看到已经可以有目录了，那么开始想既然当前目录是/var/www/html，那上层就是/var/www/想起来刚才说源码在xxx.php.txt那应该有最原始的index吧？O.o，先做尝试？

1. GET /cgi-bin/.%2e/%2e%2e/%2e%2e/%2e%2e/var/www/index.php.txt HTTP/1.1

复制代码

有了！ヾ(^▽^*))) index.php长这样！

1. [/code]看了一下源码！Class.php?好啊，看来同目录下还有个这个那直接找一下，刚才的文件叫“xxx.php.txt”这个也一样喽？
2. [code]GET /cgi-bin/.%2e/%2e%2e/%2e%2e/%2e%2e/var/www/Class.php.txt HTTP/1.1

复制代码

Class.php长这样！
[code]