① 没有思路,直接目录扫描,git泄露,利用githack
<?php
include "flag.php";
echo "flag在哪里呢?<br>";
if(isset($_GET['exp'])){
if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) {
if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp'])) {
if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp'])) {
// echo $_GET['exp'];
@eval($_GET['exp']);
}
else{
die("还差一点哦!");
}
}
else{
die("再好好想想!");
}
}
else{
die("还想读flag,臭弟弟!");
}
}
// highlight_file(__FILE__);
?>
一共有三次过滤:
preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i
把php伪协议禁掉了
preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp'])
(?R)?:(?R)代表当前表达式,相当于递归,?代表递归零次或一次;
这段相当于构造无参函数 例如:print_r(scandir());
preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i'
把一些关键字过滤了,
localeconv() 函数返回一包含本地数字及货币格式信息的数组。 current() 函数返回数组中的当前元素的值。 scandir() 函数返回指定目录中的文件和目录的数组。
array_reverse() 函数以相反的元素顺序返回数组。 next() 函数将内部指针指向数组中的下一个元素,并输出。 highlight_file() 函数对文件进行语法高亮显示。 构造payload
?exp=highlight_file(next(array_reverse(scandir(current(localeconv())))));