ctfshow _新春欢乐赛

写在前面：这样每天一道题目，深入学习一个知识点，对于语言的理解会更加清晰，也通过这几天的做题学到很多东西，这里总结下做题过程，下次遇到相同问题能够避免

热身

这个题开始做的很艰难，有两个地方不熟悉，一个eval的代码执行是一条语句，后面要加；另一个是找flag，做题做得少，不知道怎么找

直接可以代码执行，从phpinfo里面找到flag的位置(自动包含的文件）

输出即可

web1 死亡exit的绕过

知识点：死亡exit的绕过（分为三种情况）

开始做这题，不知道这个点，没想出来，后面搜索关键字，找到p神一篇文章https://www.leavesongs.com/PENETRATION/php-filter-magic.html，但是文章提到的案例跟这个有一些区别，博客里是传入两个参数，而这道题目是传入一个参数，试了很多，但是还是没做出来，后面看的wp，才明白这只是变成同时传参，这样就能写成功

构造读取flag的payload

?content=php://filter/write=string.rot13|<?cuc @riny("flfgrz('png /synt.gkg');");?>/resource=shell.php

访问shell.php

web2 session_id的使用

知识点：变量传递与覆盖（不知道对不对），session的利用

现在的我做这个题还是很懵的，感觉要灵光一现才能想出来，而不是做出来的，思路还不是很清楚

构造的payload

POST的数据

session_id=session_id

修改http头部信息

web3 弱比较和回调函数

知识点：弱比较和回调函数

这个题是唯一一个自己独立做出来的，做出来的过程也有些运气，在本地调试了很多次，可是都没有成功，想到昨天的那道题用到的函数，session_id,于是用试了session_start函数，没想到一下就试出来了，反过来一想，这个题确实很简单，函数能够返回bool值且为真即可，考的就是对于函数熟不熟悉

可以用的payload

?1=session_start
?1=error_reporting
?1=json_last_error

web4 spl_autoload_extensions函数

这个题全靠积累，那个函数我没见都没见过，翻手册也翻不到，但是学到一个知识点，这个题与上一个题一样，回调函数的参数要是一个无参函数，上一题的理解没有这么深刻

传入 1 = spl_autoload_extensions 生成 .inc,.php 文件(shell文件）

获取flag即可

web5 变量定义溢出

这个题的预期解法的知识点也是不知道的，算是学到了新的知识点，非预期的解法条件竞争现在也要去学，之后找个时间复现

官方wp：发送大量的hu即可通过替换实现内存占用放大，超过php最大默认内存256M即可造成变量定义失败，出现致命错误从而跳过后面的覆盖写入

一个 hu 替换128 kB

准确计算： 256 * 1024 *1024 / 128 / 1024 = 2097152 个，用python生成下即可

发送过多服务器会报错o(╥﹏╥)o

用burp传进去，然后访问 /