School New Competition WP

试验一下博客园的基础功能，顺便把学校战队招新赛的Wp传一下，
alpaca_search：
直接burp爆破把密码搞出来，在burp多抓几次包会在正确的包里发现一个新的cookie名count，count记录了正确的值
，然后把它改成999再多发几次包，发到正确的那一个后就拿到了flag
RCE_ME!!!
题目直接说明了是RCE，根据ctfhub学到的经验进行代码审计，显然是通过GET方式传cmd这个参数来利用漏洞，而且eval这个函数没有被ban掉，第一个
preg_match('/data://|filter://|php://|phar://|zip:///i正则表达式基本不用管，第二个if(';' === preg_replace('/[a-z,_]+((?R)?)/', NULL, $cmd))说明是个无参数RCE（说实话这个无参数RCE看了半天才搞懂），大概就是只能用函数来利用漏洞，继续审计第三个正则，发现应该被ban的defined被写成了dfined，很明显突破口在这了，传入var_dump(current(get_defined_vars()));发现给了string(38) "var_dump(current(get_defined_vars()));" }，说明可以执行shell的命令，最后用eval(end(current(get_defined_vars())));&shell=phpinfo();把phpinfo()打开，用Ctrl +F打开搜索框，输入flag就找到了，想学习无参数RCE的推荐去https://blog.csdn.net/Manuffer/article/details/120738755看看
传张图片试试