打开网页
显然是代码审计了,分析代码
当没有用GET方法传入flag时,会显示Click here的链接。
点击链接会用GET方法传入一串字符串$exam,后面是当前时间的一串sha1哈希值。
判断传入的flag长度与$exam是否相同,不同则显示 长度不允许
第二个判断过滤了一大堆
第三个判断传入flag的值等于flag值的哈希值,正确就输出flag。用的是严格的三个等号的比较,我们flag都不知道,哈希值更不可能知道了,==
但容易发现此处存在任意代码执行漏洞,
eval($_GET['flag'])
尝试绕过过滤
echo被过滤了,用php短标签进行输出
flag被过滤了,用先赋其他值,再修改的方法绕过
当php开启短标签后,
能正常解析类似于这样形式的php文件: phpinfo() ?>
并且可以使用<?=$a?>的形式输出
$exam字符串长度为49
为了使payload长度与$exam长度相等,在代码间加入无意义的语句。
构造payload:$a=blag;$a{0}=f;111111111111111111111;?><?=$$a;?>
成功得到flag
