打开题目连接,提供了如下代码:
flag In the variable ! <?php
error_reporting(0);
include "flag1.php";
highlight_file(__file__);
if(isset($_GET['args'])){
$args = $_GET['args'];
if(!preg_match("/^\w+$/",$args)){
die("args error!");
}
eval("var_dump($$args);");
}
?>
第一眼看到代码的反应就是需要利用eval函数进行注入攻击,然而题目意图并非如此,由于语句preg_match("/^\w+$/",$args)
,不允许参数$args包含除“A-Z”,“a-z”,"0-9"以外的字符,断了注入代码这条路,因此需要另想办法
注意到var_dump($$args);
中出现$$args,因此可以通过args 传入变量名称,通过var_dump来获取该变量的值
此处需要用到PHP中一特殊变量$GLOBALS,此变量能够显示该php中(包括include的文件)所有变量的值,同时题目题提示我们flag位于变量中,因此需要将args值设为GLOBALS
但是比较郁闷的是Chrom浏览器会默认将url变成小写,而小写的$globals并没有上述功能
可以使用hackbar或抓包工具解决上面的问题