当前位置: 首页 > news >正文

[GXYCTF2019]禁止套娃

参考wp [GXYCTF2019]禁止套娃_pakho_C的博客-CSDN博客_ctf禁止套娃

[GXYCTF2019]禁止套娃--详解_金 帛的博客-CSDN博客_ctf禁止套娃

进入题目环境

 源代码也啥也没有

dirsearch扫网站目录

 git泄露用GitHack下载源文件下来

 得到index.php的源码

<?php
include "flag.php";
echo "flag在哪里呢?<br>";
if(isset($_GET['exp'])){
    if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) {
        if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp'])) {
            if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp'])) {
                // echo $_GET['exp'];
                @eval($_GET['exp']);
            }
            else{
                die("还差一点哦!");
            }
        }
        else{
            die("再好好想想!");
        }
    }
    else{
        die("还想读flag,臭弟弟!");
    }
}
// highlight_file(__FILE__);
?>

可以看见过滤了data://,fileter://,phar://,php://,和et,na,info,dec,bin,hex,oct,pi,log

中间的if代表匹配字母和下划线和括号比如a(b()),b_bb(c_cc())括号可以有无数个也可以没有

 (?R)是引用当前表达式,(?R)? 这里多一个?表示可以有引用,也可以没有。引用一次正则变成了[a-z,_]+[a−z,]+\((?R)?\),可以迭代下去

因为我们不能直接读flag.php,所以我们需要去找出flag.php当前的位置

数组中对指针变换的函数

array_reverse ( array $array [, bool $preserve_keys = FALSE ] ) : array
array_reverse() 接受数组 array 作为输入并返回一个单元为相反顺序的新数组。
array_flip() 交换数组的键和值
array_rand() 从数组中随机取出一个或多个单元,不断刷新访问就会不断随机返回
end() - 将数组的内部指针指向最后一个单元
key() - 从关联数组中取得键名
each() - 返回数组中当前的键/值对并将数组指针向前移动一步
prev() - 将数组的内部指针倒回一位
reset() - 将数组的内部指针指向第一个单元
next() - 将数组中的内部指针向前移动一位

法一

print_r用于输出数组

用scandir列出指定目录中的文件和目录,当参数为.时,即列出当前目录的文件

用localeconv() 函数返回一包含本地数字及货币格式信息的数组。返回的第一个就是.

再用current() 函数返回数组中的当前元素的值。或者是pos也可以
每个数组中都有一个内部的指针指向它的"当前"元素,初始指向插入到数组中的第一个元素。

 最后加上scandir

 可以看见flag.php在第三个位置,而我们不能直接读取第三个位置的flag.php

利用数组反转array_reverse()和数组指针移动下一位next让其在第二个位置就能够读取了

 再用show_source查看内容

 或者是highlight_file

 还有readfile,在源代码里可以看见

或者是利用array_rand随机取

?exp=highlight_file(array_rand(array_flip(scandir(current(localeconv())))));

 

法二

session_id可以获取PHPSESSID的值,PHPSESSID允许字母和数字出现
因此我们在请求包中cookie:PHPSESSID=flag.php

使用session之前需要通过session_start()告诉PHP使用session,php默认是不主动使用session的。
session_id()可以获取到当前的session id。
这样可以构造payload:?exp=readfile(session_id(session_start()));
达到任意文件读取的效果:

如下

相关文章:

  • STM32CubeIDE实现基于STM32的LoRa通信程序移植(SPI接口)
  • JQuery系列之元素操作
  • BLEMotion-Kit 支蓝牙运动传感评估套件
  • 网课查题公众号平台及平台系统如何使用
  • 标准中文电码查询易语言代码
  • 影视新闻查询易语言代码
  • 开发环境搭建-windows系统使用nvm安装配置node本地环境
  • nacos配置中心的使用规则
  • 计算机毕业设计springboot+vue基本微信小程序的学生健康管理小程序
  • 董宇辉:读书让你更加深刻|程序员必读的一本书
  • Spring注解驱动之InitializingBean和DisposableBean
  • 微信输入法来了,如何下载?
  • Metacat实现原理解析
  • MTK Camera Senor Bring up 复盘总结
  • map有关的运算符重载
  • 【跃迁之路】【477天】刻意练习系列236(2018.05.28)
  • 4月23日世界读书日 网络营销论坛推荐《正在爆发的营销革命》
  • Docker 笔记(1):介绍、镜像、容器及其基本操作
  • JavaSE小实践1:Java爬取斗图网站的所有表情包
  • leetcode378. Kth Smallest Element in a Sorted Matrix
  • PHP 的 SAPI 是个什么东西
  • Promise初体验
  • PV统计优化设计
  • React系列之 Redux 架构模式
  • spark本地环境的搭建到运行第一个spark程序
  • 阿里云爬虫风险管理产品商业化,为云端流量保驾护航
  • 安卓应用性能调试和优化经验分享
  • 基于游标的分页接口实现
  • 嵌入式文件系统
  • 巧用 TypeScript (一)
  • 如何实现 font-size 的响应式
  • d²y/dx²; 偏导数问题 请问f1 f2是什么意思
  • #Linux(make工具和makefile文件以及makefile语法)
  • $(selector).each()和$.each()的区别
  • %check_box% in rails :coditions={:has_many , :through}
  • ( 用例图)定义了系统的功能需求,它是从系统的外部看系统功能,并不描述系统内部对功能的具体实现
  • (12)Linux 常见的三种进程状态
  • (pt可视化)利用torch的make_grid进行张量可视化
  • (windows2012共享文件夹和防火墙设置
  • (保姆级教程)Mysql中索引、触发器、存储过程、存储函数的概念、作用,以及如何使用索引、存储过程,代码操作演示
  • (转载)在C#用WM_COPYDATA消息来实现两个进程之间传递数据
  • (最简单,详细,直接上手)uniapp/vue中英文多语言切换
  • (最优化理论与方法)第二章最优化所需基础知识-第三节:重要凸集举例
  • ./和../以及/和~之间的区别
  • .NET 使用 XPath 来读写 XML 文件
  • .NET/C# 项目如何优雅地设置条件编译符号?
  • .Net转Java自学之路—基础巩固篇十三(集合)
  • /bin/bash^M: bad interpreter: No such file or directory
  • [ C++ ] STL---仿函数与priority_queue
  • [ 云计算 | AWS 实践 ] 基于 Amazon S3 协议搭建个人云存储服务
  • []我的函数库
  • [AIGC] SQL中的数据添加和操作:数据类型介绍
  • [Angular] 笔记 8:list/detail 页面以及@Input
  • [C#] 基于 yield 语句的迭代器逻辑懒执行
  • [c++] C++多态(虚函数和虚继承)