BuuCTF [GXYCTF2019]禁止套娃详解（两种方法）

相关无参数RCE知识内容可参照这篇：http://t.csdnimg.cn/KOske

点入题目没有提示，常规抓包看源码扫目录，用dirsearch扫目录的时候扫出git

使用githack拉取源码，里面index文件代码如下：

<?php
include "flag.php";
echo "flag在哪里呢？<br>";
if(isset($_GET['exp'])){
    if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) {
        if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp'])) {
            if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp'])) {
                // echo $_GET['exp'];
                @eval($_GET['exp']);
            }
            else{
                die("还差一点哦！");
            }
        }
        else{
            die("再好好想想！");
        }
    }
    else{
        die("还想读flag，臭弟弟！");
    }
}
// highlight_file(__FILE__);
?>

第一眼看见第二个if语句，if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp']))可以看出这是典型的无参数rce,然后是后面的if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp'])，这里限制了phpinfo()，getcwd()这些函数用不了

解法一：

函数介绍：

scandir() :将返回当前目录中的所有文件和目录的列表。返回的结果是一个数组，其中包含当前目录下的所有文件和目录名称（glob()可替换）
localeconv() ：返回一包含本地数字及货币格式信息的二维数组。（但是这里数组第一项就是‘.’，这个.的用处很大）
current() ：返回数组中的单元，默认取第一个值。pos()和current()是同一个东西

使用常规解法，最终payload为：

?exp=highligth_file(next(array_reverse(scandir(current(localeconv())))));

接下来逐个解析，1、 这里的var_dump(localeconv());我们能看见第一个string[1]就是一个“.”，这个点是由localeconv()产生的

2、 利用current()函数将这个点取出来的，点代表的是当前目录，那接下来就很好理解了，我们可以利用这个点完成遍历目录的操作，相当于就是linux中的ls指令

3、既然current()取第一个值，那么current(localeconv())就能构造一个‘.’,而'.' 表示当前目录，scandir('.') 将返回当前目录中的文件和子目录，这里我们得知flag所在的文件名就是flag.php

4、然而flag的文件名在比较后端我们可以通过array_reverse()将数组内容反转，让它从倒数第二的位置变成正数第二

5、移动指针读取第二个数组，参照下列数组移动操作可知我们应选用next()函数：

end() ： 将内部指针指向数组中的最后一个元素，并输出
next() ：将内部指针指向数组中的下一个元素，并输出
prev() ：将内部指针指向数组中的上一个元素，并输出
reset() ： 将内部指针指向数组中的第一个元素，并输出
each() ： 返回当前元素的键名和键值，并将内部指针向前移动

6、最后用highlight_file()返回文件内容

解法二：

在知道文件名为flag.php的情况下直接读文件

如果已知文件名，改包手动添加cookie头把文件名写在PHPSESSID后面，构造payload为：

readfile(session_id(session_start()));