BUUCTF [BJDCTF2020]ZJCTF,不过如此(正则e模式漏洞)

BUUCTF [BJDCTF2020]ZJCTF,不过如此(正则e模式漏洞)_第1张图片

进去就是一串PHP代码,代码功能是:用GET方法传入text和file两个参数的值 (file_get_contents函数代表将名字为text的文件以只读的方式打开,并且将文件内容读入到一个字符串中),如果读入的内容是I have a dream,则会输出该字符串内容并且正则表达式来匹配file参数传入的值,若匹配失败则直接GG

BUUCTF [BJDCTF2020]ZJCTF,不过如此(正则e模式漏洞)_第2张图片

 这个时候我们要用到伪协议data了,它可以传递文件内容也可以执行函数(函数一般要base64),这里我们传递文件内容就行了text=data://text/plain,I have a dream;file变量的话很明显利用filter过滤器来读取next.php这个文件内容php://filter/read=convert.base64-encode/resource=next.php 

BUUCTF [BJDCTF2020]ZJCTF,不过如此(正则e模式漏洞)_第3张图片我们将提取到的base64编码的文件内容解码

BUUCTF [BJDCTF2020]ZJCTF,不过如此(正则e模式漏洞)_第4张图片

可以看到cmd参数提醒我们要用命令行ls等来寻找flag,现在就是要怎么运行getFlag这个函数,因为之前我没有见过这种e模式的正则表达式,便查询一下是否有什么漏洞可以利用https://xz.aliyun.com/t/2557 

BUUCTF [BJDCTF2020]ZJCTF,不过如此(正则e模式漏洞)_第5张图片

 我的理解是:e模式下的preg_replace可以让第二个参数'替换字符串'当作代码执行,但是这里第二个参数是不可变的,但因为有这种特殊的情况,正则表达式模式或部分模式两边添加圆括号会将相关匹配存储到一个临时缓存区,并且从1开始排序,而strtolower("\1")正好表达的就是匹配区的第一个,从而我们如果匹配可以,则可以将函数实现。

  \S*=${getFlag()}&cmd=system('ls');注意代码里面的id和session是骗人的,在正则里面是$_GET,因此不用id传参数;

传入后正则会变为preg_replace('/('.\S*.')/ei','strtolower("\\1")',getFlag());存储临时缓存区:\S*==>getFlag();strtolower("\\1")匹配第一个,从而执行了getFlag()函数

BUUCTF [BJDCTF2020]ZJCTF,不过如此(正则e模式漏洞)_第6张图片

记得是在next.php页面下传入参数噢!!!不然他给你include干嘛

BUUCTF [BJDCTF2020]ZJCTF,不过如此(正则e模式漏洞)_第7张图片

最后 cat /flag即可获得flag BUUCTF [BJDCTF2020]ZJCTF,不过如此(正则e模式漏洞)_第8张图片

感觉自己还是没有理清楚,不知道以后碰到这种同样的题还会不会做,学到一个新东西就立马做笔记记录下来了

你可能感兴趣的:(php,开发语言,后端)