萌新赛 给她
git源码泄露.得到源码为
查看别人题解,里写了有关sprintf函数与addslashes的作用与漏洞。从WordPress SQLi谈PHP格式化字符串问题(2017.11.01更新)
因此构造payload:?name=admin&pass=%1$' or 1=1--+
后查看源码得到:flag in /flag
所以肯定存在文件包含或上传。
burp抓包得知有file参数值经decoder模块ascll hex decode 后为flag.txt。
更改file参数的值,得知函数为 file_get_content().
/flag ascll hex encode为2f666c6167 更改file为之,得到flag。
传入?url=;ls; 看见了flag。
再传入?url=;cat flag; 得到flag。
