ctfshow web123(php get或post变量名中非法字符转化下划线) 

$a=$_SERVER['argv'];
$c=$_POST['fun'];
if(isset($_POST['CTF_SHOW'])&&isset($_POST['CTF_SHOW.COM'])&&!isset($_GET['fl0g'])){
    if(!preg_match("/\\\\|\/|\~|\`|\!|\@|\#|\%|\^|\*|\-|\+|\=|\{|\}|\"|\'|\,|\.|\;|\?/", $c)&&$c<=18){
         eval("$c".";");  
         if($fl0g==="flag_give_me"){
             echo $flag;
         }
    }
}

因为第二个传递的参数变量名中含有非法字符点。因此我们按理说构造不出该变量名。但是,下面提一句话:

php中变量名只有数字字母下划线,被get或者post传入的变量名,如果含有空格+[则会被转化为_,但php中有个特性就是如果传入[,它被转化为_之后,后面的字符就会被保留下来不会被替换。因此我们可以构造出来该变量名咯。

下面payload的构造有好多种,这里说一下官方解法:

CTF_SHOW=&CTF[SHOW.COM=&fun=echo $flag

 

posted @ 2022-10-18 23:55  hithub  阅读(598)  评论(0编辑  收藏  举报