buuctf-[GXYCTF2019]禁止套娃1-详解-无参数rce

已于 2024-08-10 18:51:12 修改
阅读量343 收藏 2
点赞数 8
文章标签: 服务器 web安全 安全 linux php安全
于 2024-08-10 18:49:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chinese_cabbage0/article/details/141094168
版权

1.打开题目

没有找到有用的信息,查看源码也没有可用信息,

使用kali的dirb工具进行扫描,也没有发现敏感的目录,怀疑存在源码泄露

使用Githack工具来获取源码

接下来进行代码分析

题目过滤了data协议,伪协议并且过滤了大小写a-z还有一些命令,但是绕过之后是eval函数

此网站的正则匹配很多,想到可以使用无参数rce来获取信息

payload:?exp=highlight_file(next(array_reverse(scandir(pos(localeconv())))));

这里的localeconv函数的第一个字符为点,pos是匹配第一个字符,scandir是查看点的当前目录下的文件和子文件,array_reverse函数是反转数组的内容,就是把scandir查看到的目录翻过来,next匹配的是第二个目录的文件,highlight_file是把内容显示网页

我们逐个来介绍

通过var_dump来查看localeconv的第一个字符为点

通过pos来抓取(提取)第一个点,也可以使用current,pos和current的作用相同

然后通过scandir来查看当前目录下的文件和子文件

查看到了这几个目录,想到读取flag.php要用到数组的内部指针操作

但是这些指针操作都不能输出到位于倒数第二个的flag文件,那么使用数组翻转的方式,把目录反转过来

这个样子的话可以使用next命令来输出flag.php的值了

直接用var_dump是获取不到内容的,需要使用highlight_file把flag内容显示到网页

还有一种方法就是知道了flag的目录的情况下使用session_id的方式来获取flag

payload为

xing.yu.CTF
关注
buuctf-[GXYCTF2019]禁止套娃
qq_42728977的博客
12-24 3764
[GXYCTF2019]禁止套娃考点复现法一:单纯构造GET参数法二:构造session组合拳参考 考点 正则表达、无参数rce、git泄露 复现 法一:单纯构造GET参数 打开就一句 然后查看源码,空空如也。想到扫描后台文件,使用御剑很慢,使用dirsearch,一直429,查找资料,加了-s参数,也就是扫描不能太快。 python3 .\dirsearch.py -u http://5c0edec0-316a-4de9-999a-669f813c771b.node4.buuoj.cn:81/ -e
BUUCTF-WEB-[GXYCTF2019]禁止套娃
r1727337824的博客
08-29 492
.git源码泄露+代码审计 转载大佬的WP https://blog.csdn.net/weixin_43952190/article/details/107061554 1.打开网址只显示了flag在哪,查看源代码无任何有用信息 2.用御剑也没搜索到后台目录 3.这时候考虑源码泄露 打开网址 http://33c53ef7-d371-44a3-8d84-7ab89291c754.node3.buuoj.cn/.git 出现403错误 403错误是一种在网站访问过程中,常见的错误提示,表示资源不可用。
web buuctf [GXYCTF2019]禁止套娃1
weixin_44214568的博客
03-24 1824
考点:1.git泄露 2.无参RCE 1.用御剑扫后台没扫到啥东西 看robots.txt文本,也没有 2.都这样了,考虑一下有没有可能存在.git泄露, (我装了两个版本的python,githack需要在python2下运行) index.php源码如下 <?php include "flag.php"; echo "flag在哪里呢?<br>"; if(isset($_GET['exp'])){ if (!preg_match('/data:.
[GXYCTF 2019]Ping Ping Ping
最新发布
weixin_73049307的博客
09-03 770
或者127.0.0.1;cat$IFS$1flag.php($1改成$加其他数字都行,都能当作空格来用)(这里不知道为什么在输入框中输入127.0.0.1;cat%20index.php不成功)ip=whoami,猜测是个exec "ping"类型的。换成127.0.0.1;可以看到flag.php和index.php两个文件。输入127.0.0.1;看到a变量,可以尝试将a变量覆盖,然后进行绕过。输入127.0.0.1;回显提示不能有flag字符串。
BUUCTF [GXYCTF2019] 禁止套娃
nareku的博客
06-29 1465
这题对我这个小白来说好难理解,慢慢补坑吧。PHP很多常用的函数都不是很了解,命令执行也是呜呜呜感觉学得还不是很精通。打开题目,只有如下:看源码也没有什么东西,常见的信息泄露:robots协议,备用文件,目录爆破,.git泄露都试试(看其他师傅的wp:也可以扫描后台,不太清楚为什么自己实操跑不出来有点奇怪),最后发现是.git泄露使用GitHack工具,py脚本跑一下得到后台源码: 得到的源码会留在工具所在的文件夹内,查看里面的index.php页面源码 解题过程: (一)在上面传送门的那个师傅的博
被监督写博客-Day6
veinard_F的博客
10-09 247
今天做的这道题也不是很难,就是在做题的时候需要联系一些函数的功能,先记录一下这些函数: scandir()可以扫描当前目录下的文件 localeconv() 返回一包含本地数字及货币格式信息的数组 array_reverse()以相反的元素顺序返回数组 array_flip()交换数组的键和值 array_rand()从数组中随机取出一个或多个单元,不断刷新访问就会不断随机返回 current()返回数组当前的值 next()将内部指针指向数组中的下一个元素,并输出 题目 [GXYCTF2019]禁止
[GXYCTF2019]禁止套娃 1
qq_43618536的博客
07-04 475
BUUCTF的[GXYCTF2019]禁止套娃 1
BUUCTF:[GXYCTF2019]禁止套娃&&无参数RCE入门
Zero_Adam的博客
02-10 602
[GXYCTF2019]禁止套娃 想仔细了解?R的话,可以看看这个理解正则表达式中的(?R)递归
参数函数RCE+[GXYCTF2019]禁止套娃 1
bazzza的博客
12-27 951
目录无参数RCE常用函数数组操作array_fliparray_randarray_reversecurrent文件file_get_contents()readfile()highlight_file()[别名:show_source()]scandir()direname()getcwd()chdir($directory)读取环境变量get_defined_vars()getenvlocaleconv()phpversion()会话session_idsession_start其它[GXYCTF201
[ctf web]从 [GXYCTF2019]禁止套娃 开始的无参数函数RCE
ShenZ的博客
08-15 381
参数函数RCE [GXYCTF2019]禁止套娃 wp 无参数函数RCE sky大佬yyds!rce一定要看大佬的文章!!link
[GXYCTF2019]禁止套娃
box
10-20 305
这题多少有点变态 首先是 git源码泄露,使用 lijiejie的 GitHack.py 获取 .git源码 python2 GitHack.py http://b83677d6-46c1-46e1-b740-8dc6102420b6.node4.buuoj.cn/.git index.php 代码分析一波 <?php include "flag.php"; echo "flag在哪里呢?<br>"; if(isset($_GET['exp'])){ if (!preg_ma
BUUCTF】[GXYCTF2019]禁止套娃
aoao331198的博客
04-13 845
dirsearch扫描目录发现存在git泄露 于是用GitHack 生成index.php <?php include "flag.php"; echo "flag在哪里呢?<br>"; if(isset($_GET['exp'])){ if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) { if(';' === preg_replace('/[a-z,_]+\
#WEB-buuctf-禁止套娃 1
weixin_52804141的博客
12-25 196
是一个黑名单绕过像et,na,info,dec,bin,hex,oct,pi,log,i不能使用。因为上述过滤的并未过滤 session_id() 所以我想到的使用 session_id来获取 flag。)时,可执行exp传递的命令。然后过滤了data协议,filter协议,php伪协议,phar。一,进入环境,在目录扫描未果,猜测可能是.git泄露,尝试一下。二,利用工具scrabble,果真是.git泄露。1,.git泄露,scrabble的使用。得到如下源码,开始代码审计。2,无参数RCE,通过。
BUUCTF WEB 禁止套娃1
qq_41696858的博客
12-08 754
打开场景,空荡荡的,啥也没有 正常思路,扫目录,dirsearch有防扫,dirmap 扫出来.git,源码泄露没跑了 GitHacker跑出来是空文件,我也不知道为啥 GitHack看看能不能找出什么有用的东西,跑出来index.php的源码 源码如下 <?php include "flag.php"; echo "flag在哪里呢?<br>"; if(isset($_GET['exp'])){ if (!preg_match('/data:\/\/|filter:\/\/|ph
BUUCTF-[GXYCTF2019]禁止套娃
yuqie的博客
04-06 304
对于第二个if,(?R)是引用当前表达式,(?\),可以迭代下去,那么它所匹配的就是print(echo(1))、a(b(c()));所以可以先利用函数array_reverse将数组反转,flag就在第二位了,再利用next指向第二位数组,在用文件显示包涵即可输出flag.php文件,构造payload。开始审计源码,我们最终的目标是执行@eval($_GET['exp']),从这开始瞄一下大佬的wp,因为我的脚本基础差的没眼看。pos(),传入数组,回显第一个数组的值,pos可以用current代替。
buuctf-[GXYCTF2019]禁止套娃(小宇特详解
小宇的web博客
02-12 1215
buuctf-[GXYCTF2019]禁止套娃(小宇特详解) 这里先看题 这里没有找到什么有用的信息,先使用dirsearch来爆破但是没有找到有用的,这时我就怀疑是有git泄露了这里使用githack探测发现了index.php 这里直接看源码吧 <?php 2 include "flag.php"; 3 echo "flag在哪里呢?<br>"; 4 if(isset($_GET['exp'])){//需要以GET形式传入一个名为exp的参数。如果满足条件会执行这个exp参数
BuuCTF [GXYCTF2019]禁止套娃详解(两种方法)
2301_76690905的博客
10-28 685
点入题目没有提示,常规抓包看源码扫目录,用dirsearch扫目录的时候扫出git第一眼看见第二个if语句,if(';R)?\)/', NULL, $_GET['exp']))可以看出这是典型的无参数rce,然后是后面的if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp']),这里限制了phpinfo(),getcwd()这些函数用不了。
wp-buuctf-禁止套娃(无参绕过)【多方法】
bin789456的博客
11-08 2173
wp 一开始没看到什么东西,那就开始找吧,常用备份,robots协议,目录爆破,git泄露慢慢试。 试了下git泄露,有东西了: 打开得到的index.php,源码如下: <?php include "flag.php"; echo "flag在哪里呢?<br>"; if(isset($_GET['exp'])){ if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) {
生成蓝桥杯中俄罗斯套娃题目的java代码
05-29
好的,以下是一份Java代码,可以解决蓝桥杯中俄罗斯套娃题目: ```java import java.util.*; public class Main { public static void main(String[] args) { Scanner scanner = new Scanner(System.in); int n = scanner.nextInt(); Doll[] dolls = new Doll[n]; for (int i = 0; i < n; i++) { int length = scanner.nextInt(); int width = scanner.nextInt(); dolls[i] = new Doll(length, width); } Arrays.sort(dolls); int[] dp = new int[n]; int max = 0; for (int i = 0; i < n; i++) { dp[i] = 1; for (int j = 0; j < i; j++) { if (dolls[i].length < dolls[j].length && dolls[i].width < dolls[j].width) { dp[i] = Math.max(dp[i], dp[j] + 1); } } max = Math.max(max, dp[i]); } System.out.println(max); } } class Doll implements Comparable<Doll> { int length; int width; public Doll(int length, int width) { this.length = length; this.width = width; } @Override public int compareTo(Doll doll) { if (this.length == doll.length) { return this.width - doll.width; } return this.length - doll.length; } } ``` 这段代码使用了动态规划算法,时间复杂度为 O(n^2),可以通过蓝桥杯的测试。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值