<?php
error_reporting(0);
highlight_file(__FILE__);
function check($input){
    if(preg_match("/'| |_|php|;|~|\\^|\\+|eval|{|}/i",$input)){
        // if(preg_match("/'| |_|=|php/",$input)){
        die('hacker!!!');
    }else{
        return $input;
    }
}
function waf($input){
  if(is_array($input)){
      foreach($input as $key=>$output){
          $input[$key] = waf($output);
      }
  }else{
      $input = check($input);
  }
}
$dir = 'sandbox/' . md5($_SERVER['REMOTE_ADDR']) . '/';
if(!file_exists($dir)){
    mkdir($dir);
}
switch($_GET["action"] ?? "") {
    case 'pwd':
        echo $dir;
        break;
    case 'upload':
        $data = $_GET["data"] ?? "";
        waf($data);
        file_put_contents("$dir" . "index.php", $data);
}
?>

代码审查，参数action控制两个模式，当action=upload的时候会将参数data的值进行过滤并且作为file_put_contents的第三个参数，可以试试输入123的时候是个什么效果，我查资料发现这个函数的第三个参数具体用法是啥我也不知道

当action=pwd的时候，他会输出目录给我们。

一开始两个问号是个啥我也不晓得，查了一下

？？是php7新推出来的表达式，有利于简便三元运算符

例:
$example=$_GET['web']??0;
相当于
$example=$_GET['web']?$_GET['web']:0; 

意思就是如果web参数如果存在则返回本身，否则返回0

function check($input){
    if(preg_match("/'| |_|php|;|~|\\^|\\+|eval|{|}/i",$input)){
        // if(preg_match("/'| |_|=|php/",$input)){
        die('hacker!!!');
    }else{
        return $input;
    }
}
function waf($input){
  if(is_array($input)){
      foreach($input as $key=>$output){
          $input[$key] = waf($output);
      }
  }else{
      $input = check($input);
  }
}

可以发现这是对data参数的过滤防护，过滤了php，eval，花括号等，其实这些过滤内容有点提示我们要用php标签，但是php，eval，空格这些都被过滤掉了，这时候就有新东西学习了

反引号执行系统命令，以及php短标签

PHP: 执行运算符 - Manual就像如果我们要执行ls命令，通常我们都是system('ls');但是有了反引号，我们直接`ls`即可执行，是不是方便多了，但是要开一个默认选项(默认都是打开的),并且不能在双引号字符中使用

php中的短标签  https://www.jb51.net/article/112327.htm

<?$a?>相当于<?php?>
<?=$a?>相当于<?php echo $a?>还省略了eval需要的分号

因此我们思路就是，当切换在upload模式的时候，我们可以控制data参数传入php表达式看看效果，然后切换到pwd模式获取路径进入到下面去看看

成功回显1234，有点渲染那味了

构造action=upload&data=<?=`ls`?>,因为空格被过滤了，我们可以利用水平制符\t来代替空格

继续执行命令即可 

免责声明：本站发布的内容（图片、视频和文字）以原创、转载和分享为主，文章观点不代表本网站立场，如果涉及侵权请联系站长邮箱：mmqy2019@163.com进行举报，并提供相关证据，查实之后，将立刻删除涉嫌侵权内容。

猜你喜欢

• laravel框架中间件有什么作用？如何使用？

  我们知道laravel框架是PHP中常用的用框架之一，很多新手在学习laravel框架时，对于中间件的作用以及使用不是很了解，对此，这篇文章就给大家分享一下，感兴趣的朋友就继续往下看吧。

• swoole退出的方法是什么，有什么事项要注意的

  swoole退出的方法：使用“Server->stop”方法退出，其中$waitEvent参数可以控制退出策略，默认为false表示立即退出，设置为true表示等待事件循环为空时再退出。

• swoole监听redis数据的具体操作和代码是什么

  swoole监听redis数据的方法：首先在“App\Events”目录下新建“RedisTest”事件；然后添加监听事件代码；接着在“/etc/supervisor/conf.d”文件夹下新建“echo.conf”；最后执行命令重载即可。

• PHP如何获取 IP和模拟IP

  在开发过程中，我们经常有获取ip的需求，那么PHP如何获取IP呢？下面就给大家介绍一下，PHP获取真实IP以及ip模拟方法，感兴趣的朋友就继续往下看吧。

• 利用PHP来计算汉明距离总和的方法代码是什么

  在本篇文章里小编给大家整理的是一篇关于php计算汉明距离总和的实例讲解内容，有需要的朋友们可以跟着学习参考下。