Polar靶场web（三）

期待得到某一件事物的时候，才是最美好的。

签到

发现不能提交，看一下f12

发现提交按钮被禁用了，且最大输入9个字符，我们可以改一下。

现随便提交一个发现要提交ilovejijcxy

 session文件包含

发现有文件包含，那先包含一下action.php

发现

post传的参数被记录到seesion文件里面了，所以我们就可以用session文件包含，猜一下目录，找到/tmp/sess_5ki3kfmdkshq56njj2g0b1ut41

 Don't touch me

robots

一眼robots.txt

php very nice 

一眼反序列化。

ezupload 

先随便上传一个试试，提示只能上传GIF格式

经过检测，只检测Content-type，所以只需改为image/gif即可。

直接蚁剑连即可。 

cookie欺骗 

根据题目可以看出要改cookie，

把user改为admin就好了

upload

先看源代码，看到

加入url后看到源码。

发现把这么多后缀换为空，所以我们可以使用双写绕过。

上传成功。

干正则

<?php
error_reporting(0);
if (empty($_GET['id'])) {
    show_source(__FILE__);
    die();
} else {
    include 'flag.php';
    $a = "www.baidu.com";
    $result = "";
    $id = $_GET['id'];
    @parse_str($id);
    echo $a[0];
    if ($a[0] == 'www.polarctf.com') {
        $ip = $_GET['cmd'];
        if (preg_match('/flag\.php/', $ip)) {
            die("don't show flag!!!");
        }

        $result .= shell_exec('ping -c 2 ' . $a[0] . $ip);
        if ($result) {
            echo "<pre>{$result}</pre>";
        }
    } else {
        exit('其实很简单！');
    }
}

@parse_str($id); 这个函数不会检查变量 $id 是否存在，如果通过其他方式传入数据给变量$id ,且当前$id中数据存在，它将会直接覆盖掉 

技巧：cat `ls`；

cool

<?php
if(isset($_GET['a'])){
    $a = $_GET['a'];
    if(is_numeric($a)){
        echo "no";
    }
    if(!preg_match("/flag|system|php/i", $a)){
        eval($a);
    }
}else{
    highlight_file(__FILE__);
}
?>

直接用passthru即可