【Code-Audit-Challenges】Challenge 10:php://input、php弱类型、eregi

0x01 题目

";
if(!$_GET['id'])
{
    header('Location: index.php?id=1');
    exit();
}
$id=$_GET['id'];
$a=$_GET['a'];
$b=$_GET['b'];
if(stripos($a,'.'))
{
    echo 'Hahahahahaha';
    return ;
}
$data = @file_get_contents($a,'r');
if($data=="1112 is a nice lab!" and $id==0 and strlen($b)>5 and eregi("111".substr($b,0,1),"1114") and substr($b,0,1)!=4)
{
    require("flag.txt");
}
else
{
    print "work harder!harder!harder!";
}
?>

0x02 解题

首先看到$data=="1112 is a nice lab!"与file_get_contents($a,'r');直接想到昨天的世安杯用php://input接好了。
然后$_GET['id']传入任意一个字符,字符与0做比较是相等的。在后面eregi函数存在%00截断,b要求长度大于5,并且第一个字符不能是4,所以就可以让b等于%00111111来绕过。最后的payload为:

?id=a&a=php://input&b=%00111111

POST DATA:1112 is a nice lab

你可能感兴趣的:(【Code-Audit-Challenges】Challenge 10:php://input、php弱类型、eregi)