bugku~No one knows regex better than me
题目描述:
正则好像没有想象中的那么简单
打开环境得到一串代码:
<?php
error_reporting(0);
$zero=$_REQUEST['zero'];
$first=$_REQUEST['first'];
$second=$zero.$first;
if(preg_match_all("/Yeedo|wants|a|girl|friend|or|a|flag/i",$second)){
$key=$second;
if(preg_match("/\.\.|flag/",$key)){
die("Noooood hacker!");
}else{
$third=$first;
if(preg_match("/\\|\056\160\150\x70/i",$third)){
$end=substr($third,5);
highlight_file(base64_decode($zero).$end);//maybe flag in flag.php
}
}
}
else{
highlight_file(__FILE__);
}
进行一波代码审计
首先$zero,$first通过request传入一个参数,$second=zero.first,然后在$second里必须匹配到/Yeedo|wants|a|girl|friend|or|a|flag/i这里面的字符,$key=$second,接着在$key里不能匹配到/..|flag/,然后$third=first,并且在$里要匹配有/\|\056\160\150\x70/i,$end从third里第五位字符开始截取。这里再附上我当时做的笔记:
我现在就直接解释下当时构造payload的思路的:
seconde里要存在"/Yeedo|wants|a|girl|friend|or|a|flag/i"
,而second=zero.first,所以zero=flag
key=second=zero.first,并且不能存在"/\.\.|flag/"
,也就是说zero不能=flag,但可以看下面highlight_file(base64_decode($zero).$end)
,会进行base64_decode,所以直接将’flag’进行base64加密得到ZmxhZw==
之后third=first,并且要匹配"/\\|\056\160\150\x70/i"
,这是16进制与进制的东西,转换成10进制,再转成ascii码后即为|.php
,但$end=substr($third,5);
,故需要在|.php前面加上4个字符,来绕过substr,不过这4个字符得都是"/Yeedo|wants|a|girl|friend|or|a|flag/i"
,这里面的(我这里给出一些字符:aaaa oror Flag girl )这里用Flag的原因是不能匹配/\.\.|flag/
,所以完整的payload为:
?zero=ZmxhZw==&first=aaaa|.php
最后即可得到flag
这道题需要我们对正则表达式具有一定了解
希望这篇文章对你有帮助哦