题目描述

题目截图如下：

进入场景看看：

flag In the variable !
 <?php  
error_reporting(0);
include "flag1.php";
highlight_file(__file__);
if(isset($_GET['args'])){
    $args = $_GET['args'];
    if(!preg_match("/^\w+$/",$args)){
        die("args error!");
    }
    eval("var_dump($$args);");
}
?>

解题思路

• 代码第一行就提示说:flag在变量中,那不就是要读取变量的值?
• PHP代码解读

相关工具

略

解题步骤

假装PHP代码审计一下:

1. error_reporting(0); 这行代码设置错误报告级别为0，也就是禁用错误报告。

2. include “flag1.php”; 这行代码用于包含一个名为"flag1.php"的文件。

3. highlight_file(_file_); 这行代码用于将当前文件的源代码进行语法高亮并输出到浏览器。

4. die(“args error!”); 这行代码输出错误信息"args error!"并终止程序的执行。

5. if(isset($_GET[‘args’])){} 这个条件判断语句检查是否存在名为"args"的GET参数。如果存在，则执行后面的代码块。

6. $args = $_GET[‘args’]; 这行代码将GET参数"args"的值赋给变量$args。

所以需要一个args参数来接收

/?args=

值是多少?看看preg_match解释.

7. eval(“var_dump( $ $ args);”); 这行代码使用eval()函数将变量$args的值作为PHP代码执行，也就是通过var_dump()函数将$ args变量的值输出。

• eval()函数，允许执行任意 PHP 代码

• $$args表示以$args变量的值为变量名的变量(也就是$args的值应该是另一个变量的变量名)。,比如：

$change_name = "trans"
$trans = "you"
echo $change_name
echo "<br>"
echo $$change_name

输出：

trans
you

简单说就是:这段代码的功能是接受一个名为"args"的GET参数，将其作为变量名来进行求值，并将结果通过var_dump()函数输出到浏览器。

8. if(!preg_match("/^\w+$/",$args)){ } :这个条件判断语句使用正则表达式检查$args变量的值是否符合\w+这个模式，也就是是否只包含字母、数字和下划线。如果不符合，则执行后面的代码块。

/^\w+$/中，

• 两个/ / 表明正则表达式的开始与结束，
• ^是开始字符，
• $是结束字符，
• \w 包含【a-z, A-Z, ,0-9】中的字符，
• +代表可以有一个或多个。

总的加起来意思就是 以[a-z,A-Z,,0-9]中的其中一个字符开始，中间可以有任意个[a-z, A-Z, ,0-9]字符，最后再以[a-z,A-Z,,0-9]中的一个字符结束 这是对args传入的参数的要求。题目这里就相当于以所有字母数字模式，匹配args变量。也就是说我们赋值的args变量的值（可能包含字母和数字）要出现在PHP文件中(我想不到是去找PHP文件中的变量)。这怎么做到？？？

这时候就出现了全局变量、超全局变量！这意味着它们在一个脚本的全部作用域中都可用。在函数或方法中无需执行 global $variable; 就可以访问它们。

总不可能定义一个特别的变量,那么就可以将php九大超级全局变量一个一个试：

$_POST [用于接收post提交的数据]
$_GET [用于获取url地址栏的参数数据]
$_FILES [用于文件就收的处理img (最常见)]
$_COOKIE [用于获取与setCookie()中的name 值]
$_SESSION [用于存储session的值或获取session中的值]
$_REQUEST [具有get,post的功能，但比较慢]
SERVER[是预定义服务器变量的一种，所有SERVER[是预定义服务器变量的一种，所有_SERVER [是预定义服务器变量的一种，所有_SERVER开头的都
$GLOBALS [一个包含了全部变量的全局组合数组]`变量的名字就是数组的键`[不出意外就是你啦]
$_ENV [ 是一个包含服务器端环境变量的数组。它是PHP中一个超级全局变量，我们可以在PHP 程序的任何地方直接访问它]

先试试_REQUEST:

确实有反应,但是没有flag,再试试其他的,直到GLOBALS（$GLOBALS 是一个包含了全部变量的全局组合数组。变量的名字就是数组的键。）:

http://114.67.175.224:13462/?args=GLOBALS

得到Flag

flag{6df491b3ca68fc5d2afef2dfd0aea228}

新知识点

• preg_match函数

• var_dump()函数

<?php
$a = array(1, 2, array("a", "b", "c"));
var_dump($a);
?>

输出：

array(3) {
  [0]=>
  int(1)
  [1]=>
  int(2)
  [2]=>
  array(3) {
    [0]=>
    string(1) "a"
    [1]=>
    string(1) "b"
    [2]=>
    string(1) "c"
  }
}

• isset 函数
• PHP 超级全局变量
  

本题重点是学习一下关于PHP的超级全局变量相关知识！

有用的话，请点赞收藏评论，帮助更多的同学哦