本文解析了一道涉及PHP正则表达式的Bugku平台题目。通过构造特定的输入字符串绕过安全检查,最终调用highlight_file函数显示隐藏的flag。文章详细介绍了如何处理双重转义字符和使用ASCII码构建目标字符串。
No one knows regex better than me
记Bugku一道关于PHP正则的新加题目
题目源码:
<?php
error_reporting(0);
$zero=$_REQUEST['zero'];
$first=$_REQUEST['first'];
$second=$zero.$first;
if(preg_match_all("/Yeedo|wants|a|girl|friend|or|a|flag/i",$second)){
$key=$second;
if(preg_match("/\.\.|flag/",$key)){
die("Noooood hacker!");
}else{
$third=$first;
if(preg_match("/\\|\056\160\150\x70/i",$third)){
$end=substr($third,5);
highlight_file(base64_decode($zero).$end);//maybe flag in flag.php
}
}
}
else{
highlight_file(__FILE__);
}
题解:
接收两个参数
$zero $first
影响三个参数
key=key=key=second=zero.zero.zero.first
third=third=third=first
条件分支由外到内
preg_match_all("/Yeedo|wants|a|girl|friend|or|a|flag/i",$second);
Yeedo|wants|a|girl|friend|or|a|flag
$second 由其任意组合构成
preg_match("/\.\.|flag/",$key)
绕过该分支,$key=$second只需避免..与flag(小写)出现
preg_match("/\\|\056\160\150\x70/i",$third);
本题的注意点,开始在这翻了车,因为存在两次转义,实际为匹配:
|.php
注: \056\160\150\x70为16进制和8进制ascii代码,php可自动识别
$end=substr($third,5);
highlight_file(base64_decode($zero).$end);//maybe flag in flag.php
相当明显的提示,
$third=$first 仅需构造xxxxx.php型的字符串即可,但是第三次匹配字符为|.php,应当为
xxxx|.php
//xxxx可为oror aaaa Flag等等
而$zero为base64(‘flag’)即可
ZmxhZw==
最终payload
zero=ZmxhZw==&first=oror|.php
知识点补充:
关于两重转义
在正则表达式中要匹配一个反斜杠时,例如"\\\\",前后两个反斜杠在字符串中分别变成一个反斜杠,解释为两个反斜杠,再交由正则表达式解释为一个反斜杠,需要四个反斜杠。
字符串 ----> 正则表达式字符串参数 -----> 正则解析转移后的pattern
字符串:"\\." ----> 正则表达式形式:"\." ---> 正则引擎解析结果"\."(转义的.)
字符串:"(\\)(\\)" ----> 正则表达式形式:"\\" ---> 正则引擎解析结果"\"(普通符号\)
字符串:"(\\)(\\)|.php" ----> 正则表达式形式:"\\|.php" ---> 正则引擎解析结果pattern为"\"或".php"(普通符号\)
字符串:"(\\)|.php" ----> 正则表达式形式:"\|.php" ---> 正则引擎解析结果"|.php"(普通符号\)
关于进制代码
形如\xnn为16进制(Hex),\nnn为8进制(Oct)【n为一位数字】
通符号)
注:转载请表明用途及出处.
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
