这是一道CTF题 ,请仔细阅读以下php代码,设计一种攻击方式获取其flag,<?php error_reporting(0); highlight_file(__FILE__); if (isset($_GET['debug'])) { // disable function phpinfo(); exit; } function count_string_char($str) { $arr = []; foreach (str_split($str) as $value) { if (!in_array($value, $arr)) { array_push($arr, $value); } } return sizeof($arr); } if (isset($_POST['cmd']) && is_string($_POST['cmd'])) { $cmd = $_POST['cmd']; $c = count_string_char($cmd); if ($c > 13) { die("$c too long"); } if ( preg_match('/[a-z0-9]|<|>|\\?|\\[|\\]|\\*|@|\\||\\^|~|&|\s/i', $cmd) ) { die("nonono"); } eval( "print($cmd);" ); } else { exit(); }
时间: 2023-06-11 20:08:41 浏览: 319
两道CTF流量分析题,寻找flag!
该 PHP 代码存在一个命令注入漏洞,攻击者可以通过该漏洞获取 flag。
攻击方式:
1. 模拟正常请求
首先,我们可以通过正常的 HTTP 请求来测试该脚本的行为。当我们访问该脚本时,它会输出当前的 PHP 代码,并且不会执行任何其他操作。
2. 利用 debug 参数
我们可以在 URL 中添加一个名为 debug 的 GET 参数,从而触发其中的代码。该参数将调用 `phpinfo()` 函数并退出,因此我们可以在浏览器中看到当前 PHP 环境的信息。
3. 利用 cmd 参数
我们可以在 POST 请求中添加一个名为 cmd 的参数,并将其设置为要执行的命令。该脚本使用 `isset()` 函数检查该参数是否存在,但它没有对该参数进行任何过滤或验证,因此我们可以在该参数中注入任何命令。
例如,我们可以使用以下命令:
```
curl -d "cmd=ls" -X POST http://example.com/your-script.php
```
这将列出当前目录中的所有文件。同样地,我们可以通过向 `cmd` 参数注入其他命令来执行任意操作,包括获取 flag。
例如,如果 flag 存储在 `/var/www/html/flag.txt` 中,我们可以使用以下命令:
```
curl -d "cmd=cat /var/www/html/flag.txt" -X POST http://example.com/your-script.php
```
这将输出 flag 内容。因此,攻击者可以通过利用该命令注入漏洞来获取 flag。
阅读全文