web91笔记（换行符 %0a截断if）

<?php

/*
# -*- coding: utf-8 -*-
# @Author: Firebasky
# @Date:   2020-09-16 11:25:09
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-18 16:16:09
# @link: https://ctfer.com

*/

show_source(__FILE__);
include('flag.php');
$a=$_GET['cmd'];
if(preg_match('/^php$/im', $a)){
    if(preg_match('/^php$/i', $a)){
        echo 'hacker';
    }
    else{
        echo $flag;
    }
}
else{
    echo 'nonononono';
}

Notice: Undefined index: cmd in /var/www/html/index.php on line 15
nonononono

第一个if需要匹配到php，而第二个if如果匹配到php就会输出hacker，绕过需要不让它匹配到，这里有一个正则匹配的知识点

/i表示匹配大小写
字符 ^ 和 $ 同时使用时，表示精确匹配，需要匹配以php开头和以php结尾
/m 多行匹配 若存在换行\n并且有开始^或结束$符的情况下，将以换行为分隔符，逐行进行匹配
但是当出现换行符 %0a的时候，$cmd的值会被当做两行处理，而此时第二个if正则匹配不符合以php开头和以php结尾

所以payload为

?cmd=%0aphp
或者
?cmd=php%0a%0a