数字验证正则绕过

Bugkuctf题库中的一道代码审计题,通过利用各种正则匹配函数特性最终得到flag

源代码如下:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
<?php
error_reporting(0);
$flag = 'flag{test}';
if ("POST" == $_SERVER['REQUEST_METHOD'])
{
$password = $_POST['password'];
if (0 >= preg_match('/^[[:graph:]]{12,}$/', $password)) //preg_match — 执行一个正则表达式匹配
{
echo 'flag';
exit;
}
while (TRUE)
{
$reg = '/([[:punct:]]+|[[:digit:]]+|[[:upper:]]+|[[:lower:]]+)/';
if (6 > preg_match_all($reg, $password, $arr))
break;
$c = 0;
$ps = array('punct', 'digit', 'upper', 'lower'); //[[:punct:]] 任何标点符号 [[:digit:]] 任何数字 [[:upper:]] 任何大写字母 [[:lower:]] 任何小写字母
foreach ($ps as $pt)
{
if (preg_match("/[[:$pt:]]+/", $password))
$c += 1;
}
if ($c < 3) break;
//>=3,必须包含四种类型三种与三种以上
if ("42" == $password) echo $flag;
else echo 'Wrong password';
exit;
}
}
?>

请求方法必须为POST

首先弄明白正则匹配函数:

preg_match:执行一个正则表达式匹配,匹配到则返回1,匹配不到则返回0

preg_match_all:执行一个全局正则表达式匹配,返回成功模式匹配的次数,并将匹配结果存储到一个数组中

两个函数的区别是preg_match第一次匹配成功后就停止匹配,而preg_match_all是匹配到字符串结束为止

再弄明白几个正则匹配的特殊字符:

[:graph:] : 除空格,TAB外的所有字符
[:punct:] : 任何标点符号
[:digit:] : 任何数字
[:upper:] : 任何大写字母
[:lower:] : 任何小写字母

接下来来到第一个判断地方:

1
2
3
4
5
if (0 >= preg_match('/^[[:graph:]]{12,}$/', $password)) //preg_match — 执行一个正则表达式匹配
{
echo 'flag';
exit;
}

如果这个if语句执行成功,那么我们就获取不到后面的flag值,所以不能让if执行,也就是preg_match必须返回1,即正则匹配成功

在看正则表达式’/^[[:graph:]]{12,}$/’

必须以任意一个除空格,TAB外的标点符号开头和结尾,且出现至少12次

验证如下:

1
2
3
4
5
6
7
8
9
<?php

if(isset($_GET['password'])){
$password=$_GET['password'];
$a=preg_match('/^[[:graph:]]{12,}$/',$password);
echo '$a='.$a;
}

?>

输入12个1,看到结果返回1

输入小于12个,看到结果返回0

这里需要注意,输入’+’ 会被当做是空格处理,要先将’+’进行URL编码%2b

综上,第一个输入要求,输入除空格,TAB外的字符至少十二次

在看下一个判断条件:

1
2
3
$reg = '/([[:punct:]]+|[[:digit:]]+|[[:upper:]]+|[[:lower:]]+)/';
if (6 > preg_match_all($reg, $password, $arr))
break;

如果if语句成功执行,break退出循环,我们就得不到flag值

所以我们不能让if语句成功执行,也就是说要让全局匹配成功次数大于6次

在看正则表达式’/([[:punct:]]+|[[:digit:]]+|[[:upper:]]+|[[:lower:]]+)/’

因为是全局匹配,所以匹配成功的条件是检测到任何符号出现1次以上或者任何数字出现1次以上或者任何大写字母出现1次以上或者任何小写字母出现1次以上,一旦匹配成功一次,就开始检测下一次的匹配,这么说有点难理解,直接上代码验证:

1
2
3
4
5
6
7
8
9
10
11
<?php

if(isset($_GET['password'])){
$password=$_GET['password'];
$reg = '/([[:punct:]]+|[[:digit:]]+|[[:upper:]]+|[[:lower:]]+)/';
$a=preg_match_all($reg,$password,$arr);
echo '$a='.$a."<br>";
print_r($arr);
}

?>

这里输入1aB.

匹配的过程是这样的:先检测到1,符合[:digit:]出现1次,继续检测,检测到a,符合[:lower:]出现1次,继续检测,以此类推,所以最后检测成功次数为4

同时也可以看出返回的数组有两个元素,第一个元素是整个匹配结果,第二个元素是子模式的匹配结果

关于返回数组的详情可以参考:https://blog.csdn.net/qq_27988539/article/details/77366329

这题因为不牵涉到数组,就不详细研究

重点关注成功匹配的次数

这里特别说明什么时候是一次匹配的结束,就是检测到不是属于同一种特殊字符为止,因为这里每种特殊字符可以出现1次或者多次,举个例子,我们输入

第一次匹配结束是检测到a字符,不符合[:digit:],所以开始第二次匹配

因为这里要成功匹配6次以上,所以每种类型的字符必须间隔出现6次以上,结合第一个条件,字符出现12个以上,于是我们可以输入11aaBB..22cc

验证一下:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
<?php

if(isset($_GET['password'])){
$password=$_GET['password'];
if(0>=preg_match('/^[[:graph:]]{12,}$/',$password)){
echo 'Wrong Format 1';
exit;
}
$reg = '/([[:punct:]]+|[[:digit:]]+|[[:upper:]]+|[[:lower:]]+)/';
if(6>preg_match_all($reg,$password,$arr)){
echo 'Wrong Format 2';
exit;
}
echo 'success';
}

?>

结果如下:

再来看第三个条件:

1
2
3
4
5
6
7
8
$c = 0;
$ps = array('punct', 'digit', 'upper', 'lower'); //[[:punct:]] 任何标点符号 [[:digit:]] 任何数字 [[:upper:]] 任何大写字母 [[:lower:]] 任何小写字母
foreach ($ps as $pt)
{
if (preg_match("/[[:$pt:]]+/", $password))
$c += 1;
}
if ($c < 3) break;

如果$c<3,那么我们就得不到flag值,也就是说要让$c>=3,即成功匹配三次或以上

即出现三种类型字符或以上,按上面的输入:11aaBB..22cc,就行了,验证一下:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
<?php

if(isset($_GET['password'])){
$password=$_GET['password'];
if(0>=preg_match('/^[[:graph:]]{12,}$/',$password)){
echo 'Wrong Format 1';
exit;
}
$reg = '/([[:punct:]]+|[[:digit:]]+|[[:upper:]]+|[[:lower:]]+)/';
if(6>preg_match_all($reg,$password,$arr)){
echo 'Wrong Format 2';
exit;
}

$c=0;
$ps=array('punct','digit','upper','lower');
foreach($ps as $pt){
if(preg_match("/[[:$pt:]]+/",$password)){
$c += 1;
}
}
if($c<3){
echo 'Wrong Format 3';
exit;
}
echo 'success';
}

?>

再看最后一个关键条件:

1
if("42" == $password) echo $flag;

执行了这个语句我们才可以得到想要的flag,也就是password值等于’42’,因为类型都是字符串,所以password中的值必须等于42,结合上面的三个条件

成功的输入可以有:

42.000e%2b000000000

420.000000000000e-1

文章作者: Somnus
文章链接: https://nikoeurus.github.io/2018/07/10/%E6%95%B0%E5%AD%97%E9%AA%8C%E8%AF%81%E6%AD%A3%E5%88%99%E7%BB%95%E8%BF%87/
版权声明: 本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来自 Somnus's blog