这是一道典型的 PHP 代码审计与绕过类型的 CTF 题目
它的核心考点是:PHP 的可变变量、引用传递 以及 利用 PHP 全局变量数组绕过正则限制。
核心代码:
php
function getFlag(&$v1, &$v2){
eval("$$v1 = &$$v2;");
var_dump($$v1);
}这里使用了 v1和v1 和 v1和v2,也就是可变变量。例如,如果 v1 = "a",那么 v1 就相当于 a。
eval("KaTeX parse error: Expected 'EOF', got '&' at position 6: v1 = &̲v2;"); 的意思是:让以 v1 的值命名的变量,强行引用(指针指向)以 v2 的值命名的变量。
随后 var_dump($$v1); 会把这个变量的值打印出来。我们的目标就是让它打印出存储在内存或某个变量中的 flag。
但是这里对v1v2的输入存在严格的正则限制:
php
if(preg_match('/\~| |\`|\!|\@|\#|\\$|\%|\^|\&|\*|\(|\)|\_|\-|\+|\=|\{|\[|\;|\:|\"|\'|\,|\.|\?|\\\\|\/|[0-9]|\<|\>/', $v1))被禁用的字符包括:空格、数字(0-9)以及绝大多数特殊符号(包括 $、_ 等)。
允许的字符:基本上只剩下了大小写英文字母
此外还对v1进行限制
php
if(preg_match('/ctfshow/', $v1)){
getFlag($v1, $v2);
}在进入getflag前,v1的值里面必须包含ctfshow这个字符串
既然 include("flag.php"); 被执行了,flag 通常会被定义为一个变量(例如 $flag)。
但在 PHP 中,所有的全局变量都会被自动存储在超全局配置数组 $GLOBALS 中。
如果我们能让 KaTeX parse error: Can't use function '' in math mode at position 7: v1 指向 ̲GLOBALS,那么 var_...v1) 就会把所有的全局变量(包括 flag)全部打印出来!
假设我们传入:v1 = ctfshowv2 = GLOBALS带入 getFlag 函数后:v1的值是"ctfshow"−>v1 的值是 "ctfshow"->v1的值是"ctfshow"−>v1 代表变量 ctfshowctfshowctfshowv2 的值是 "GLOBALS" -\> v2 代表变量 GLOBALS执行 eval 语句就变成了:
php
$ctfshow = &$GLOBALS;接着执行:
php
var_dump($ctfshow);因为 $ctfshow 已经引用了 GLOBALS,这就等于vardump(GLOBALS,这就等于 var_dump(GLOBALS,这就等于vardump(GLOBALS);
在 PHP 中,$GLOBALS 是一个包含当前脚本中所有全局变量的全局组合数组。只要在当前页面中出现过、定义过的变量,或者是系统自带的运行环境便利,全都会在这个数组里
所以flag就直接输出在当前页面中了
flag为:ctfshow{8fa1650c-3dfd-4645-8c3f-ca3c0ef9533d}