- if(!$_GET['id'])
- {
- header('Location: hello.php?id=1');
- exit();
- }
- $id=$_GET['id'];
- $a=$_GET['a'];
- $b=$_GET['b'];
- if(stripos($a,'.'))
- {
- echo 'no no no no no no no';
- return ;
- }
- $data = @file_get_contents($a,'r');
- if($data=="bugku is a nice plateform!" and $id==0 and strlen($b)>5 and eregi("111".substr($b,0,1),"1114") and substr($b,0,1)!=4)
- {
- $flag = "flag{***********}";
- }
- else
- {
- print "never never never give up !!!";
- }
- ?>
- if(!$_GET['id'])
- {
- header('Location: hello.php?id=1');
- exit();
- }
- $id=$_GET['id'];
- $a=$_GET['a'];
- $b=$_GET['b'];
- if(stripos($a,'.'))
- {
- echo 'no no no no no no no';
- return ;
- }
- $data = @file_get_contents($a,'r');
- if($data=="bugku is a nice plateform!" and $id==0 and strlen($b)>5 and eregi("111".substr($b,0,1),"1114") and substr($b,0,1)!=4)
- {
- $flag = "flag{***********}";
- }
- else
- {
- print "never never never give up !!!";
- }
首先,data的值必须是"bugku is a nice plateform!",这个怎么办到?我们知道file_get_contents的参数是文件名,本质上是打开一个文件流,从流里读出文件内容。但我们并不知道哪个文件里有这个字符串信息,也没有上传接口,无法自己上传一个文件上去。这时,需要观察到本质,file_get_contents本质上是打开一个文件流,流!!!,重点是流。我们可以用php伪协议来完成。此时$a=php://input,然后用post传输"bugku is a nice plateform!",当file_get_contents($a)触发时,就是从Post的输入流里获取字符串“bugku is a nice plateform!”。
接着,id==0怎么绕过,毕竟一开始就判断过,id肯定不能是0,要是0,就退出程序了。但仔细看看,==在php中是弱类型比较,0bcde==0这个是成立的。为什么呢?因为数字之间比较时,非数字不参与比较。因此id=0a就可以绕过。
strlen($b) >5 没什么可说的,个数大于5就好。
eregi("111".substr($b,0,1),"1114") and substr($b,0,1)!=4),按照普遍的思路来说- eregi("111".substr($b,0,1),"1114")
- eregi()匹配函数,匹配到则是True
- "111".substr($b,0,1) -> 拼接 “111”和 $b的第一个字符 (.是拼接字符串的意思)
- 比如$b=4321 那么 "111".substr($b,0,1) 就是1114
整体构造如下:
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
