打开页面,看到代码跟之前做过的一道题差不多。file_get_contents()函数以及GET方法参数配合。代码中使用file_get_contents()函数判断的话可以直接使用php伪协议中的php://input,可以直接接收post方法传过来的值。注意的是需要将GET方法换成POST方法。
这里使用php伪协议读取next.php文件内容,base64解码后内容如下
做的时候一直盯着前面两行代码,后面才发现只是一个幌子。
这段代码可以一眼看到getFlag()函数中的eval方法,存在命令执行漏洞。只需将我们需要执行的代码system('ls');赋值给cmd参数即可。
那么问题来了,如何调用getFlag()函数?首先我们看看complex()函数的功能,看上去是正则替换。preg_replace($pattern,$replacement,$subject)函数,
在$subject中查找$parrten并替换成$replacement。我们需要了解代码中参数1的含义。将字符串'/('拼接到$re参数前面,字符串')/ei'拼接到$re后面。()表示匹配子表达式,/i表示匹配时不区分大小写,/e表示把第二个参数当成表达式,可以执行。具体可以看这篇文章讲的不错
\\1表示匹配表达式的内容,第一个\表示转义。漏洞就在/e这个匹配模式。php中变量在双引号会被解析,单引号不会。(函数不会被解析)
利用{${phpinfo()}}的方式就可以执行对应函数。所以想要调用getFlag()函数可以是{${getFlag()}}。那么参数1就是GET方法的参数,第三个参数就是该参数的值。可以试试参数为.*,表示匹配除了\n之外的字符,并且匹配0次或多次。这样就可以匹配到
{${getFlag()}},于是可以调用。但是这里有个问题,如果GET方法传过来的参数存在非法字符,就会将其替换成'_'。在这里'.'是非法字符,所以传过来就会将参数替换成_*。因此我们需要通过\S来绕过,\S匹配的是非空字符。所以参数可以使\S*,这样也能匹配到参数3。所以payload
?\S*={${getFlag()}}&cmd=system('cat flag');
2607
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
