攻防世界web高手进阶WP-favorite number

考点：
①php5.5 key数组溢出
②%0A绕过preg_match()
打开链接是一道php源码审计问题
解题步骤：
①stuff === $array && $stuff[0] != 'admin’

②num必须是数字

③黑名单，禁止了敏感字符* ^ }{ \等和一些敏感函数
第一步让stuff与数组强相等，并且 s t u f f 数 组 的 第 一 个 元 素 与 stuff数组的第一个元素与 stuff数组的第一个元素与array数组的第一个元素不相等。
这里用到了key数组溢出漏洞来绕过
参考：php5.5 key数组溢出问题
payload：stuff[4294967296]=admin&stuff[1]=user绕过第一个

第二步，看到system()函数，就想到命令执行，常用的system(‘ls /’)，但num必须是数字，不能出现字符，如何执行我们的命令呢？
正则匹配中^表示开头， $表示结尾，\d表示数字字符，+表示前面匹配的对象最少出现一次，/im表示匹配多行并且不区分大小写。
我们可以使用%0A来绕过，%0A表示换行，绕过原理是：preg_match()函数默认只匹配第一行，如果匹配完成（返回0或者1）就返回，所以将我们想要执行的命令放到第二行中
payload：num=123%0als
原理：


preg_match("/sh|wget|nc|python|php|perl|?|flag|}|cat|echo|*|^|]|\\|’|"||/i",$num)
黑名单中没有过滤掉,可以 ls \查看根目录下的文件，发现flag文件
![在这里插入图片描述](https://www.icode9.com/i/ll/?i=24814f19d84941f6a32e348e0fc8758c.png?,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L1doYW9jYWk=,size_16,color_FFFFFF,t_70#pic_center
之后就是查看flag中的内容了，我有三种思路：
第一种思路：用通配符绕过关键字，禁用了cat和flag关键字，所以cat /flag是用不了了，这时想到通配符*，但是题目中也过滤掉了*,? [ ^ 这四个字符在linux命令中都有统配符的作用,所以这个思路行不通，那么该如何定位到flag文件呢？看下面这种思路
？表示匹配任意单个字符
*表示匹配任意长度字符
[]匹配指定范围内的字符
[^]匹配指定范围外的总府
第二种思路：ls -i命令，显示文件的节点号，思路就是通过文件的节点号对文件进行操作
payload： num=213%0als -i /

读取flag内容
payload：num=123%0atac find / -inum 2766254 查看根目录下节点号为2766254的文件
因为过滤了cat，linux中还可以读取文件内容的命令有：less，more，head，tail，nl，od，tac
第三种思路：flag文件名重定向到文件中然后使用命令读取
payload：num=123%0aprintf /fla > /tmp/hello %26%26 printf g >> /tmp/hello %26%26 tac `tac /tmp/hello`

linux中>表示写入到一个文件中，如果该文件不存在则新建
>>表示追加内容到文件中，如果不存在则创建
printf /fla > /tmp/hello将字符/fla写入/tmp下的hello文件中，printf g >> /tmp/hello将字符g追加到/tmp下的hello文件中，所以就在hello文件中完成了字符的拼接。hello文件的内容是/flag。
linux中反引号作用是，先执行反引号中的命令，将返回结果赋值给一个变量。
`tac /tmp/hello`返回/flag，tac `tac /tmp/hello` 就是tac /flag成功读取到flag
flag：cyberpeace{562030ba653652e56183413067d95143}
希望能与各位师傅们多多交流，可私信，一定回。