2024年第四届 “赣网杯” 网络安全大赛 gwb-web3 Write UP【PHP 临时函数名特性 + 绕过trim函数】_赣网杯 2024

---

二、解题思路：

常规思路就是绕过 md5 效验。但是这里是强比较，显然无法绕过。尝试参数爆破，看有没有除pass、func 额外的请求参数， bp 跑参数字典：

果然发现了一个 file 请求参数，使用 readfile() 函数读取文件，尝试任意文件读取：

尝试读取 flag, 发现存在拦截：

readfile() 可以直接读取 php 文件，且php代码不会被解析

读取当前文件源代码：

尝试绕过 preg_match 正则，传递数组参数：

成功绕过，但是 readfile() 不接受数组作为参数， 网上没找到 readfile() 相关漏洞的文献资料。故放弃…

---

想起上上周看到 p 牛10月份写的一篇文章，提到了 PHP 临时函数名特性 , 且给的题目案例跟这题很像。 ==> 2023年10月PHP函数小挑战

PHP在编译“函数定义”的时候，会使用 zend_compile_func_decl 函数。这个函数有个关键的参数叫 toplevel，这个参数表示当前的函数定义是否在顶层作用域。

顶层作用域： 顶层作用域通常是指在全局范围内声明的变量、函数或类，而不是在任何函数或控制结构内声明的。

<?php

// 在顶层作用域定义的函数
function func1() {
    echo 'func1';
}

if (true) {
	// 在if条件判断内部定义的函数，不是顶层作用域
    function func2() {
        echo 'func2';
    }
}

当toplevel为true的时候，就是直接将当前函数名 lcname 加入函数表；当 toplevel为false的时候，使用 zend_build_runtime_definition_key 函数生成一个 key，将 key 作为函数名加入函数表。也就是说，根据函数所在的位置的不同（是否是顶级作用域），PHP编译时生成的函数名也会不同。

key 是按照如下算法生成：

'\0' + name + filename + ':' + start_lineno + '$' + rtd_key_counter

除了第一个 \0 字符，后面四部分的含义如下：

• name 函数名
• filename PHP文件绝对路径
• start_lineno 函数起始定义行号（以1为第一行）
• rtd_key_counter 一个全局访问计数，每次执行会自增1，从0开始

最后保存在函数表中的函数名，就是上面这个以 \0 开头的字符串。

---

以上是看 p 牛的文章简要梳理一下核心知识点。但是我发现一个问题：

图中说只要构造：'\0' + name + filename + ':' + start_lineno + '$' + rtd_key_counter 调用就可以了，但是后面图中 payload 又是：
'%00' + name + filename + ':' + start_lineno + '$' + rtd_key_counter 这种方式：

为什么又变成了 %00 而不是 \0 呢？小小的探究一下：

前提：windows，php 7.4 （要限制7.4版本，稍后会说）， vld.dll 内存监控插件 （要下载和php版本相对应的）

本地编写和比赛环境一样的代码，文件名为：965ee283f4c848ad99b0a7961ed89199.php，使用php7.4 配合vld插件解释运行：

 ./php -d vld.execute=0 -d vld.active=1  E:\phpstudy_pro\WWW\php-learn\965ee283f4c848ad99b0a7961ed89199.php

可以看到实际的临时函数名确实是以 %00 开头的。php 底层是由C语言编写的，在C语言中，\0和%00实际上有相似的作用，都表示空字符（null character）。\0是C语言中用于表示空字符的一种方式，通常用在字符串中作为字符串的结束标志。%00通常是在格式化输入输出函数中使用的格式说明符，表示空字符。 我们请求参数被php接收并解释运行，也是一个输入的过程，所以要使用 %00 为开头构建。（个人见解）

---

为什么要限制 php7.4 这个版本去复现呢？

我尝试使用 php7.3 版本配合vld插件去解释运行相同的代码，得到如下：

不同版本有差异性，7.4 版本结尾更加具有规律性，能爆破。

---

按照上面的思路，按照 zend_build_runtime_definition_key 的算法计算出 key 作为函数名：(rtd_key_counter 从 0 开始爆破)

%00youwin/var/www/html/965ee283f4c848ad99b0a7961ed89199.php:7$rtd_key_counter

本人从事网路安全工作12年，曾在2个大厂工作过，安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过，对这个行业了解比较全面。

最近遍览了各种网络安全类的文章，内容参差不齐，其中不伐有大佬倾力教学，也有各种不良机构浑水摸鱼，在收到几条私信，发现大家对一套完整的系统的网络安全从学习路线到学习资料，甚至是工具有着不小的需求。

最后，我将这部分内容融会贯通成了一套282G的网络安全资料包，所有类目条理清晰，知识点层层递进，需要的小伙伴可以点击下方小卡片领取哦！下面就开始进入正题，如何从一个萌新一步一步进入网络安全行业。

学习路线图

其中最为瞩目也是最为基础的就是网络安全学习路线图，这里我给大家分享一份打磨了3个月，已经更新到4.0版本的网络安全学习路线图。

相比起繁琐的文字，还是生动的视频教程更加适合零基础的同学们学习，这里也是整理了一份与上述学习路线一一对应的网络安全视频教程。

网络安全工具箱

当然，当你入门之后，仅仅是视频教程已经不能满足你的需求了，你肯定需要学习各种工具的使用以及大量的实战项目，这里也分享一份我自己整理的网络安全入门工具以及使用教程和实战。

项目实战

最后就是项目实战，这里带来的是SRC资料&HW资料，毕竟实战是检验真理的唯一标准嘛~

面试题

归根结底，我们的最终目的都是为了就业，所以这份结合了多位朋友的亲身经验打磨的面试题合集你绝对不能错过！

网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。

需要这份系统化资料的朋友，可以点击这里获取

一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！