[BJDCTF2020]ZJCTF，不过如此

各位久等了，前段时间恶补了一下知识体系，现在开始重新刷题

进入题目给出源码

<?php

error_reporting(0);
$text = $_GET["text"];
$file = $_GET["file"];
if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){
    echo "<br><h1>".file_get_contents($text,'r')."</h1></br>";
    if(preg_match("/flag/",$file)){
        die("Not now!");
    }

    include($file);  //next.php
    
}
else{
    highlight_file(__FILE__);
}
?>

代码中提示了next.php，并且过滤了flag,所以需要从next.php找找线索

首先绕过text的过滤，来看看next.php中是什么内容

 

 

 

 解码发现内容

<?php
$id = $_GET['id'];
$_SESSION['id'] = $id;

function complex($re, $str) {
    return preg_replace(
        '/(' . $re . ')/ei',
        'strtolower("\\1")',
        $str
    );
}


foreach($_GET as $re => $str) {
    echo complex($re, $str). "\n";
}

function getFlag(){
    @eval($_GET['cmd']);
}

进行一个简单的分析，我们的目的是传入$cmd参数，然后eval执行从而拿到flag。那该如何利用呢，在php中如果直接传.* .会被替代成下划线所以我们换个元字符\S \S表示匹配非空格以外的所有字符，这也我们就能够匹配我们想要的命令执行函数了

对 $_GET as $re => $str 的理解：

这是一个动态赋值的过程，即会将get请求中的参数名作为键$re，参数对应的值作为键值$str

当中的 \1 实际上就是 \1 ，而 \1 在正则表达式中有自己的含义。

这里的 \1 实际上指定的是第一个子匹配项，我们拿 ripstech 官方给的 payload 进行分析，方便大家理解。

为什么要匹配到 {${phpinfo()}} 或者 ${phpinfo()} ，才能执行 phpinfo 函数，这是一个小坑。这实际上是 PHP可变变量 的原因。在PHP中双引号包裹的字符串中可以解析变量，而单引号则不行。 ${phpinfo()} 中的 phpinfo() 会被当做变量先执行，执行后，即变成 ${1} (phpinfo()成功执行返回true) payload如下

?\S*=${getFlag()}&cmd=system('cat /flag');