首先是个.git源码源码泄露,用githack回复一下源码
源码
<?php
$pass=sprintf("and pass='%s'",addslashes($_GET['pass']));
$sql=sprintf("select * from user where name='%s' $pass",addslashes($_GET['name']));
?>
这题用了两次sprintf函数可以在这里做文章
sprintf用法:
%% - 返回一个百分号 %
%b - 二进制数
%c - ASCII 值对应的字符
%d - 包含正负号的十进制数(负数、0、正数)
%e - 使用小写的科学计数法(例如 1.2e+2)
%E - 使用大写的科学计数法(例如 1.2E+2)
%u - 不包含正负号的十进制数(大于等于 0)
%f - 浮点数(本地设置)
%F - 浮点数(非本地设置)
%g - 较短的 %e 和 %f
%G - 较短的 %E 和 %f
%o - 八进制数
%s - 字符串
%x - 十六进制数(小写字母)
%X - 十六进制数(大写字母)
点击查看代码
<?php
$number = 123;
$txt = sprintf("%f",$number);
echo $txt;
?>
//结果是:123.000000
点击查看代码
<?php
$number = 123;
$txt = sprintf("带两位小数:%1\$.2f
<br>不带小数:%1\$u",$number);
echo $txt;
?>
//当一个变量要同时被多个地方引用的时候就需要 %1\$u 的操作
//%1的意思是引用的是第一个变量$u是
//运行结果:如图
那么bug就来了
如果我们输入"%"或者"%1$",他会把反斜杠当做格式化字符的类型,然而找不到匹配的项那么"%","%1$"就因为没有经过任何处理而被替换为空。
简单来说就是当sprintf解析时,如果出现 "%"或者"%1$" 会将这两个变为空
当%1$' 他会直接返回 '
构造payload
name=admin&pass=%$' or 1=1--+
重点过了接下来回跳转到wjbh.php,就不细讲了,他应该是include()了cookie的内容
直接php://filter/convert/resource=/flag 进行16进制编码传入cookie就拿到flag了
