这题也是preg_match()的绕过,绕过正则绕麻了
preg_match()的绕过常用的三种有:
1、最大回溯次数绕过
2、数组绕过
3、换行绕过
先看waf
这里check函数是嵌套在waf里面的,waf嵌套做了一个数组的判断,而check才是真正的waf
如果$input是数组的话也会被循环经过check检查每一个元素值,这样的话数组绕过就没法用
这里接受参数如果是pwd的话输出当前目录,upload就将data参数值写入index.php文件
先看看index.php路径:
因为是get传参,所以最大回溯绕过preg_match也不行,试试换行绕过:
换行绕过也不行,check函数虽然看着过滤的不多,但是一些关键的被过滤了,让写入空的php文件但是又把分号过滤了,这里在本地试了一下,发现短标签不需要分号,但是这样在本地会莫名其妙的输出1,有没有大佬解释一下
下面直接传参<?=system(ls)?>
但是想传system("ls /")的时候又有个问题是空格被过滤了,这里要用到一个函数是hen2bin()将十六进制转换为二进制编码后的字符串,ls / 十六进制编码是6C73202F
最后
action=upload&data=<?=system(hex2bin("636174202F666C6C6C6C6C6C6C313131323232323232326C6167"))?>