用了git,所以怀疑源码泄露。
下载文件,用的这个工具。
这东西被注释了,所以伪协议不一定能读取。
读源码
接收传入的page,拼接后,如果里面带有文件跳跃的..给你输出这个页面
如果没匹配到,就输出另外一个页面
这里的flag明显存在。
在PHP的语法中,单引号和双引号本身不能"互相替代",但可以合法嵌套使用------只要引号的"配对关系"正确,就能被PHP正常解析,这也是之前注入场景中能同时用单、双引号的原因。
- 先明确PHP单/双引号的基础规则
-
单引号:包裹的是"纯字符串",不会解析其中的变量、特殊转义(仅支持 \' 转义自身单引号);
-
双引号:包裹的字符串会解析其中的变量(如 "$var" )、特殊转义(如 \n )。
- 单/双引号的"合法嵌套"是关键
PHP允许单引号包裹的字符串里包含未转义的双引号,也允许双引号包裹的字符串里包含未转义的单引号------只要引号的"开闭配对"正确即可:
- 例1(单引号里嵌套双引号):
php
echo 'hello "world"'; // 输出:hello "world"(双引号是普通字符)
- 例2(双引号里嵌套单引号):
php
echo "hello 'world'"; // 输出:hello 'world'(单引号是普通字符)
- 回到之前的注入场景:为什么单/双引号能一起用?
在注入的 $page 参数( ' . system("cat templates/flag.php") . ' )中:
-
外层的单引号:是用来闭合原代码中 assert 语句里包裹 file 的单引号(原代码是 strpos('file', '..') ,这里的单引号是成对的);
-
内层的双引号:是 system() 函数的参数包裹符------因为它处于"单引号包裹的字符串"内部,双引号会被PHP当作普通字符处理,不影响外层单引号的配对。
最终,PHP会将这段代码解析为合法的语法:
php
strpos('templates/'. system("cat templates/flag.php") . '.php', '..') === false
这里的单、双引号是"嵌套配对"的关系,而非"兼容替代",所以能被正常执行。
$file = "templates/' . system("cat templates/flag.php") . '.php";
strpos('templates/'. system("cat templates/flag.php") . '.php', '..') === false
可以直接执行。
这个代码里的命令拼接执行,是通过 assert() 的代码执行特性 + 用户可控的 $page 参数拼接实现的,具体对应代码中的这两个核心环节:
- $file 的拼接逻辑:
代码中 file = "templates/" . page . ".php"; 里的 $page 是用户通过 GET 参数可控的------这是"拼接命令执行代码"的输入入口。
- assert() 的代码执行能力:
代码里的 assert("strpos('file', '..') === false") 会把字符串参数当作PHP代码执行。当用户构造恶意 page (比如 ' . system("cat templates/flag.php") . ' )时, $file 会被拼接成包含 system() (命令执行函数)的内容,最终让 assert 执行的代码里拼接了命令执行逻辑,从而实现系统命令的执行。
简言之:这个代码本身没有直接写命令执行函数,但通过"用户可控参数拼接 $file + assert 执行代码"的组合,实现了命令的拼接与执行。