这是一道典型的 PHP 代码审计与绕过类型的 CTF 题目
它的核心考点是:PHP 的可变变量、引用传递 以及 利用 PHP 全局变量数组绕过正则限制。
核心代码:
functiongetFlag(&$v1,&$v2){eval("$$v1= &$$v2;");var_dump($$v1);}这里使用了v1和v1 和v1和v2,也就是可变变量。例如,如果 $v1 = “a”,那么 $$v1 就相当于 $a。
eval(“KaTeX parse error: Expected 'EOF', got '&' at position 6: v1 = &̲v2;”); 的意思是:让以 $v1 的值命名的变量,强行引用(指针指向)以 $v2 的值命名的变量。
随后 var_dump($$v1); 会把这个变量的值打印出来。我们的目标就是让它打印出存储在内存或某个变量中的 flag。
但是这里对v1v2的输入存在严格的正则限制:
if(preg_match('/\~| |\`|\!|\@|\#|\\$|\%|\^|\&|\*|\(|\)|\_|\-|\+|\=|\{|\[|\;|\:|\"|\'|\,|\.|\?|\\\\|\/|[0-9]|\<|\>/',$v1))被禁用的字符包括:空格、数字(0-9)以及绝大多数特殊符号(包括 $、_ 等)。
允许的字符:基本上只剩下了大小写英文字母
此外还对v1进行限制
if(preg_match('/ctfshow/',$v1)){getFlag($v1,$v2);}在进入getflag前,v1的值里面必须包含ctfshow这个字符串
既然 include(“flag.php”); 被执行了,flag 通常会被定义为一个变量(例如 $flag)。
但在 PHP 中,所有的全局变量都会被自动存储在超全局配置数组 $GLOBALS 中。
如果我们能让KaTeX parse error: Can't use function '$' in math mode at position 7: v1 指向 $̲GLOBALS,那么 var_…v1) 就会把所有的全局变量(包括 flag)全部打印出来!
假设我们传入:v1 = ctfshowv2 = GLOBALS带入 getFlag 函数后:v1的值是"ctfshow"−>v1 的值是 "ctfshow"->v1的值是"ctfshow"−>$v1 代表变量ctfshowctfshowctfshowv2 的值是 “GLOBALS” -> $$v2 代表变量 $GLOBALS执行 eval 语句就变成了:
$ctfshow=&$GLOBALS;接着执行:
var_dump($ctfshow);因为 $ctfshow 已经引用了GLOBALS,这就等于vardump(GLOBALS,这就等于 var_dump(GLOBALS,这就等于vardump(GLOBALS);
在 PHP 中,$GLOBALS 是一个包含当前脚本中所有全局变量的全局组合数组。只要在当前页面中出现过、定义过的变量,或者是系统自带的运行环境便利,全都会在这个数组里
所以flag就直接输出在当前页面中了
flag为:ctfshow{8fa1650c-3dfd-4645-8c3f-ca3c0ef9533d}
