1:打开环境,翻译看看意思,随便传一个参数如图,随意传参获取到smarty提示,有可能是模板注入

2:审计一下代码,preg_match后面就是代表这些被过滤了,环境地质+./template.html就是假的答案,就想到了抓包看看

还是看了别人的才知道个东西叫模板注入,要验证一下是不是模板注入,像这样,114.67.175.224:18407/?flag.txt?a={4*4}里面的4*4随便你,后面代码后面会多出一个像这样的

3:构造payload

补充

php命令执行函数有https://www.php.net/execexec — 执行一个外部程序
passthru — 执行外部程序并且显示原始输出
proc_close — 关闭由 proc_open 打开的进程并且返回进程退出码
proc_open — 执行一个命令,并且打开用来输入/输出的文件指针。
popen — 打开一个指向进程的管道,该进程由派生给定的 command 命令执行而产生。
proc_terminate — 杀除由 proc_open 打开的进程
shell_exec — 通过 shell 环境执行命令,并且将完整的输出以字符串的方式返回。
system — 执行外部程序,并且显示输出
scandir 列出指定路径中的文件和目录
eval — 把字符串作为PHP代码执行
assert --函数直接将传入的参数当成PHP代码执行
linux查看文件的命令cat tac more less head tail nl static-sh paste od bzmore bzless
php文件读取函数printr() fread() fgets() vardump()

用scandir函数去查找关于flag的文件,还有获取flag文件内容:/index.php?f={print_r(scandir("/"))}

 /index.php?f={var_dump(scandir("/"))},发现重要东西,_12686这个文件夹名字就不一样了,先搞它

 在后面粘贴上,/index.php?f={fread(fopen("/_12686","r"),4096)}

4096是啥,我也不晓得

 得到flag

4:呃呃呃4096是什么,速度?看到博客的,知道的,qql告诉我吧

PHP中的文件系统函数第三部分_瑾的日常-CSDN博客

还有一个大佬的博客,我就是看了·他的payload我才做出来

bugku CTF 聪明的php WriteUp - 知乎 (zhihu.com)

bugku上聪明的PHP相关推荐

  1. Bugku web 聪明的php

    Bugku web 聪明的php 模板注入 打开题目 模板注入 打开题目 得到提示,传递参数 随机传一个参数,得到源码 在这地方卡了挺久的,发现smarty是个模板,测试一下是不是模板注入 确实为sm ...

  2. bugku上Snowfall解题过程

    MISC的Snowfall解题过程: 刚看到打开人直接傻掉,翻译一下暴风雪???什么鬼题,有没有一样这样想的 1:先看两个txt名字,告诉了步骤1,步2,所以肯定这个有用,给个网站: Whitelip ...

  3. Bugku之聪明的小羊

    题目给了描述 一只小羊翻过了2个栅栏 fa{fe13f590lg6d46d0d0} 根据提示,fa{fe13f590lg6d46d0d0}应该是栅栏密码,到网上找工具 栅栏加密/解密 - Bugku ...

  4. bugku上美丽的烟火解题过程

    1: 下载好一个压缩包,里面一个密码txt,一个png,解压提示要密码,爆破了一下没有用,打开winhex看一下,发现重要东西!  属于是伪加密 点上面那个HEX搜50 4B 01 02这种,懒直接滑 ...

  5. bugku(crypto)-聪明的小羊

    一只小羊翻过了2个栅栏 fa{fe13f590lg6d46d0d0} flag{6fde4163df05d900}

  6. Bugku 杂项(三)

    这周接着扳bugku上的题,话说暑假真的好无聊啊╯︿╰,希望赶紧开学... 1.旋转跳跃 这题没啥难度,就是考会不会用 MP3Stego这个工具:放个福利吧,为了让更多的小白免受找工具之苦 下载地址: ...

  7. BugKu社工-进阶收集

    学习目标:MISC的简单学习 BugKu社工-进阶收集 学习目标:MISC的简单学习 1.题目 一.提 示: flag{小美小区名字拼音} 二.描 述: 小明当年为了追求小美想尽办法获得小美的地址.直 ...

  8. bugku 网站被黑(御剑突破+bp抓包爆破)

    今天我们写一道bugku上的网站被黑,首先我们启动场景,发现网站被挂了黑页,这种时候,我们开启御剑进行后台扫描,如下图所示 我们从中看到了shell.php,我们点进去,发现了一个后门 我们尝试输入密 ...

  9. BugKu msic方向 赛博朋克

    因为最近在自学msic 所以做的题都是Bugku上msic方向的 这题下载压缩包打开是一个txt,但是里面都是乱码.但是开头有ng字样,猜测是不是一个png文件改成了后缀txt. 打开Hex Work ...

最新文章

  1. Tengine高性能部署之—日志分割
  2. asp.net 开源
  3. maven_Maven提示:关于可执行jar的全部
  4. matlab的一个疑问?
  5. 第二十节: 深入理解并发机制以及解决方案(锁机制、EF自有机制、队列模式等)
  6. JAVA入门级教学之(标识符与关键字)
  7. CompletionService VS ExecutorService
  8. 装载鸿蒙系统,华为3-4月份将正式推送鸿蒙系统 第三方装载量也将达到一个亿...
  9. 中科院开发者公开道歉:将木兰编程语言夸大为“完全自主开发”
  10. 最简单的基于FFmpeg的libswscale的示例附件:测试图片生成工具
  11. js学习总结----iscroll
  12. Distinct去除集合中的重复项GetHashCode方法没有返回obj.GetHashCode()导致出错
  13. 八十年代的计算机游戏,儿时小霸王的记忆 八十年代最伟大的二十款游戏
  14. 学习中LINUX中常见问题
  15. PDF Expert快捷键
  16. 计算机力学专业排名,专业+排行榜
  17. 【MySQL】SHOW WARNINGS和SHOW ERRORS的作用是什么?
  18. 提供一个vs6,vs2005,vs2008,office2007可以下载的地址.
  19. vue 一键复制粘贴文字功能
  20. 产品经理应该知道的产品战略图

热门文章

  1. Spring 配置context:component-scan产生的错误
  2. Android 画圆弧canvas.drawArc() 详解
  3. L1-1 古风排版(20 分)
  4. 福利吧简约朴素网站地址发布页源码
  5. pytorch框架学习系列
  6. oracle select with read only,oracle创建视图的一些总结:包括with check option和with read only...
  7. 一个例子让你明白什么是CART回归树
  8. centos下实现mysql自动备份
  9. ORA-04031案例一则(非常详细的解释)
  10. python turtle随机生成图形_用 Python Turtle 模块做小游戏 (1) - 随机移动,万花筒和点图...