前置知识
eval: 把字符串按照 PHP 代码来执行,例如eval(“echo 1;”);这个函数拥有回显
system:使php程序执行系统命令,例如,system(“ls”);就是查看当前目录,这个拥有回显
preg_match:查找字符串是否匹配一个正则表达式。参数1是正则表达式,参数2是字符串,其他可选参数请自行学习
linux基础命令:
- ls:展示当前目录下的所有文件
- cat:输出当前文件的所有内容
- tac:从最后一行开始逐行向上遍历输出当前文件的所有内容
信息收集
这里学习php不是一蹴而就的,我刚开始学习的时候也是直接搭建了php的网站,把题目复制到本地,然后自己调试,以此来学习php的函数。我希望读者也能如我一样有一个自己的php网站,用于学习这些php函数代码。
这里的preg_match("/flag/i", $c)表示变量$c是否存在flag这个子字符串,最后的/表示需要遵循的匹配规则,i是大小写忽略
所以这句代码的意思是,$c里是否有flag,大小写忽略,例如fLAg也能正确匹配
而取反后,我们的提交的参数c不能包含flag字样
解题
这里仅提供一些解题的思路,起到抛砖引玉的作用,我不可能列举出所有的方法,想到啥就写啥了。
这里我们使用system(“ls”);查看当前目录,是否存在我们想要的flag
方法1
接下来,我们本应该system("cat flag.php"); 即可,但flag被过滤了,我们的输入中有flag就不会执行eval。想要绕过flag非常简单,只需要tac fla*就可以了
为什么不用cat而是tac呢,因为cat获取了完整的php内容,包括<?php ... ?>和注释,这会被eval()当做代码解析,这不是我们希望看到的,我们希望获得的就是php的源码。
方法2
c=system("cp fla* a.txt");
将flag.php复制到a.txt
方法3
我们可以给system传变量,这样$c里没有flag,而我们在其他变量里传入flag.php就能完美绕过它的限制
web28 目录 web30