preg_match函数，正则匹配绕过

以ichunqiu欢乐赛为例子

1.通过.swp 文件恢复出php脚本

vi index.php.swp

recover

2.第一关源码为

<?php
function areyouok($greeting){
   return preg_match('/Merry.*Christmas/is',$greeting);
}

$greeting=@$_POST['greeting'];
if(!areyouok($greeting)){

    if(strpos($greeting,'Merry Christmas')!==false){

        echo 'Merry Christmas. '.'flag{xxxxxx}';

    }else{

        echo 'Do you know .swp file?';
    }

}else{

    echo 'Do you know PHP?';
}
?>

php大部分函数无法处理数组，所以想到用数组绕过

当传入的参数为数组时，我把返回的值dump出来，发现preg_match()的返回值，就会是布尔类型的false。但是strpos()的返回值就会变成NULL

当我们传入greeting[]=Merry Christmas时，preg_match就会出现错误，返回false

然后if(strpos($greeting,'Merry Christmas')!==false)   !==符号判断了false的类型

因为返回值为NULL所以，成功绕过两个函数。

3.第二关源码为

<?php

function areyouok($greeting){
    return preg_match('/Merry.*Christmas/is',$greeting);
}
$greeting=@$_POST['greeting'];
if(!is_array($greeting)){

   if(!areyouok($greeting)){
        if(strpos($greeting,'Merry Christmas')!==false){
            echo 'Merry Christmas. '.'flag{xxxxxx}';

        }else{
            echo 'Do you know .swp file?';
        }

    }else{
        echo 'Do you know PHP?';
    }
}
?>

4.第二关比第一关多了

if(!is_array($greeting))  验证提交的变量是否为数组，所以上面的方法就用不了了

查资料知道了（详细资料：http://www.laruence.com/2010/06/08/1579.html）

在PHP的pcre扩展中, 提供了俩个设置项

我本地的回溯上限为1000000，默认的回溯上限为100000。

当输入的字符串超过这个限制的时候，preg_match()这个函数就会出错，返回false

构造payload

import requests

data = {"greeting":"Merry Christmas" + "aaaaa" * 1000000}

res = requests.post('http://localhost/test.php', data=data, allow_redirects=False)

print res.content

本地测试结果

成功绕过正则匹配函数，成功绕过拿到flag