CTF-Web习题：[BJDCTF2020]Mark Loves cat

题目链接：Mark Loves cat

解题思路

访问靶机网站后得到如下页面：

先浏览网页，发现最下面有一个"dog"字样，此时翻看源码并没有什么发现

那就例行进行目录扫描，源码泄露扫描，用dirsearch目录扫描工具扫描网页目录：python3 dirserach.py -u [url]

发现/.git 源码，考虑是,git源码泄露问题

在kali中利用githacker工具拉取.git源码到result文件夹中：githacker --url [url] --output-folder [文件夹名]

得到flag.php和index.php文件

打开index.php，发现导入了flag.php文件

打开flag.php，发现flag变量被函数赋值，证明这里的flag变量就是我们要找的flag，那就会想有没有办法获取到这个值

审阅index.php文件，其中if判断有点多，我们审阅关键字段，发现有echo $flag，尝试跨过i判断利用echo直接输出flag的值无果。

发现前面还有$$，是典型的变量覆盖漏洞，阅读源码可知，只要用get方法传入yds=flag，即可利用exit()函数覆盖yds变量输出flag。

知识补充

php语法：

• 可变变量（可导致变量覆盖漏洞）

$cat = "miao";
$$cat = "hahaha";
echo $miao;//输出hahaha

• $_GET:与$_POST类似，是php中的超全局变量，用于接收HTTP中GET方法传过来的参数数组
• foreach

foreach($_GET as $x => $y){
	$$x = $$y;
}
//遍历HTTP的GET方法传过来的参数数组，key赋值给x，value赋值给y，大括号内是循环体
//例如传过来a=flag，则有$a = $flag，即将变量flag的值赋值给变量a

• exit()函数

exit($a);//打印变量a的值,中断程序并退出

• isset()函数

//用于检测变量是否被赋值且非null
$a = 1;
isset($a);//true