这里给个pwnhub的简化版的题1
2
3
4
5
6
7
8
9
10
11
12
function is_valid($title, $data){
$data = $title . $data;
return preg_match('|\A[ _a-zA-Z0-9]+\z|is', $data);
}
$title = $_GET['title'];
$data = $_GET['data'];
if (!is_valid($title,$data)){
exit("no!no!no!");
}
file_put_contents('a.php',$data);
先解释一下代码,传过来的title和data两个值拼接在一起,然后去匹配正则表达式,只能有字母、数字、空格和下划线,如果匹配成功,就使用file_put_contents将data的内容写进去a.php文件
可是我们想写一个马进去,至少也是要有?这些字符的,这里就利用到php的一个trick了
先来个官网介绍
可以看见,filename是要被写入数据的文件名;data是写入的数据,类型可以是string,array;data可以是数组,但是不能是多维数组,相当于file_put_contents($filename,join(‘’,$array)),如果第二个参数传入的是数组,则它们会以字符串的形式拼接起来
这里有个可以利用的地方就是,我们第二个参数可以传入一个数组,这样在进行正则拼接的时候,数组会强制转化成字符串,也就是会变成$title.Array,这样当然是可以符合规则的,所以就可以绕过正则的限制了,而且很秀的是,刚刚好file_put_contents是可以执行数组的
最后的payload:
1 | ?title=s&data[]=<?php%0a&data[]=phpinfo(); |
最后我们可以看见,a.php确实写进了phpinfo(),至此,我们就可以利用这个漏洞写个马了
最后补一句,其实这个漏洞在fopen(),fwrite(), fclose()也是存在的