[GXYCTF2019]禁止套娃

最新推荐文章于 2024-03-29 16:45:33 发布
最新推荐文章于 2024-03-29 16:45:33 发布
阅读量370 收藏
点赞数 2
分类专栏: ctf 文章标签: 网络安全 php sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45751765/article/details/121529484
版权

1NDEX

一级目录

0x00 前言

写这篇主要巩固一下正则,难度不是特别大
递归正则属于是盲区了

0x01 Sunwear

看看页面空空如也,抓包看看也是空空如也

在这里插入图片描述
果断扫一下在这里插入图片描述
Githack一把梭
拿到index.php

<?php
include "flag.php";
echo "flag在哪里呢?<br>";
if(isset($_GET['exp'])){
    if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) {
        if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp'])) {
            if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp'])) {
                // echo $_GET['exp'];
                @eval($_GET['exp']);
            }
            else{
                die("还差一点哦!");
            }
        }
        else{
            die("再好好想想!");
        }
    }
    else{
        die("还想读flag,臭弟弟!");
    }
}
// highlight_file(__FILE__);
?>

第一层ban掉了伪协议
主要是第二层的正则一开始没见过
参考掘金

https://juejin.cn/post/6972854176069992484

提取精华

递归就是引用自身,在正则里,就是引用整个表达式(?R)或指定子组(?n)
(?R)在翻译的时候,可以理解为一个”占位符“。它的位置决定了下一次递归时,捕获值的插入位置。
ok,我举几个直观的例子直观感受一下

表达式`(abc)(123|def)(?R)?(xyz)`可以匹配什么样的字符串?我们拆开看一下:

先进行一轮匹配,(abc)(123|def)可以匹配对应字符串abc123或abcdef,
(?R)?如果取0次,则直接跳到结尾xyz,那么abc123xyz或abcdefxyz肯定是可以匹配的,
并成功退出;

如果(?R)?1的话,进行第一次递归,则这时表达式可以翻译成:
(abc)(123|def)(abc)(123|def)(?R)?(xyz)(xyz),
这时(?R)?可以再次取0,则表达式可以匹配abc123abcdefxyzxyz,abc123abc123xyzxyz, 
abcdefabcdefxyzxyz, abcdefabc123xyzxyz,这4个字符串,并成功退出;

同理,我们还可以把(?R)?再取1,那么实际上这个表达式可以匹配
(abc(123|def)\*n+(xyz)\*n这种特征的字符串;

在回到本题里
preg_replace(’/[a-z,]+((?R)?)/’, NULL, $GET[‘exp’])
提出pattern: /[a-z,_]+\((?R)?\)/
实际上就是匹配 [a-z,]+()
然后表达式捕获值可以递归插入这个位置
在这里插入图片描述
/[a-z,_]+\(占位符\)/
[a-z,]+([a-z,_]+((?R)?)) 无限套娃下去
这就是无参数函数校验

可能说的比较抽象
在线实操几下
在这里插入图片描述
正常匹配完函数,后面的括号多余了
在这里插入图片描述
改变一下占位符的位置
可以看到只有里面的s_can()被匹配替换了
因为现在是在末尾,捕获值只能递归插入在尾部
在这里插入图片描述
再改一下,在尾部追加函数,成功被匹配替换
在这里插入图片描述

brain.md

利用函数scandir扫目录
需要能返回字符串’.'的函数

函数扩充
array_reverse()函数将数组倒序
next()函数指向下一个索引
localeconv()函数返回一包含本地数字及货币格式信息的数组,包含小数点字符,可作为当前路径使用
在这里插入图片描述
在这里插入图片描述
由于next函数无法嵌套
我们可以倒转数组然后使用一次next
poc

?exp=show_source(next(array_reverse(scandir(current(localeconv())))));

done

0x02 rethink

歇后语
ctfer学正则——够用就行?!

k_du1t
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
俄罗斯套程序及设计
06-09
2.在递归函数调用时记录路经(保存在向量path_now中),并记录当前的套总重(score_now)。 3.走过的没有套的路口,将其值修改为HPZD(即0XFFFFFFFF),表明该路口已走过。 4.当递归函数返回时恢复path_now和score...
[GXYCTF2019]禁止1 不会编程的崽的博客
不会编程的崽的博客
02-05 1163
ctf 源码泄露 无参数rce
[GXYCTF2019]禁止--详解
金 帛的博客
06-12 2318
BUUCTF记录贴
[GXYCTF2019]禁止1(无参RCE)
最新发布
BoJing6的博客
03-29 311
这一题用githack获取源码我就不讲了,我想说的是这个题的方法和我自己的理解!这段代码就是禁止我们用一些php伪协议之类的东西if(';R)?这个就比较有意思了大概的意思就是把'a-z,_'之后的东西转义为NULL,通俗来说就是可以使用函数但是不能使用参数,下面是在shell中的测试结果解法一:函数介绍:scandir() :将返回当前目录中的所有文件和目录的列表。返回的结果是一个数组,其中包含当前目录下的所有文件和目录名称(glob()可替换)
BUUCTF [GXYCTF2019] 禁止
nareku的博客
06-29 1308
这题对我这个小白来说好难理解,慢慢补坑吧。PHP很多常用的函数都不是很了解,命令执行也是呜呜呜感觉学得还不是很精通。打开题目,只有如下:看源码也没有什么东西,常见的信息泄露:robots协议,备用文件,目录爆破,.git泄露都试试(看其他师傅的wp:也可以扫描后台,不太清楚为什么自己实操跑不出来有点奇怪),最后发现是.git泄露使用GitHack工具,py脚本跑一下得到后台源码: 得到的源码会留在工具所在的文件夹内,查看里面的index.php页面源码 解题过程: (一)在上面传送门的那个师傅的博
BuuCTF [GXYCTF2019]禁止详解(两种方法)
2301_76690905的博客
10-28 419
点入题目没有提示,常规抓包看源码扫目录,用dirsearch扫目录的时候扫出git第一眼看见第二个if语句,if(';R)?\)/', NULL, $_GET['exp']))可以看出这是典型的无参数rce,然后是后面的if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp']),这里限制了phpinfo(),getcwd()这些函数用不了。
俄罗斯套奖品Java程序
08-12
网上有套的VC程序,c程序,这是我改写的Java版本。
俄罗斯套奖品C++程序
05-19
非常经典的程序,曾是中兴“捧月杯”参赛程序。程序里面使用使用C++编程
俄罗斯套
04-17
俄罗斯套动作数据
俄罗斯套问题 回溯法
08-01
俄罗斯套问题 采用递归、回溯法解决俄罗斯套问题
BUUCTF-[GXYCTF2019]禁止
yuqie的博客
04-06 230
对于第二个if,(?R)是引用当前表达式,(?\),可以迭代下去,那么它所匹配的就是print(echo(1))、a(b(c()));所以可以先利用函数array_reverse将数组反转,flag就在第二位了,再利用next指向第二位数组,在用文件显示包涵即可输出flag.php文件,构造payload。开始审计源码,我们最终的目标是执行@eval($_GET['exp']),从这开始瞄一下大佬的wp,因为我的脚本基础差的没眼看。pos(),传入数组,回显第一个数组的值,pos可以用current代替。
buuctf-[GXYCTF2019]禁止
qq_42728977的博客
12-24 3401
[GXYCTF2019]禁止考点复现法一:单纯构造GET参数法二:构造session组合拳参考 考点 正则表达、无参数rce、git泄露 复现 法一:单纯构造GET参数 打开就一句 然后查看源码,空空如也。想到扫描后台文件,使用御剑很慢,使用dirsearch,一直429,查找资料,加了-s参数,也就是扫描不能太快。 python3 .\dirsearch.py -u http://5c0edec0-316a-4de9-999a-669f813c771b.node4.buuoj.cn:81/ -e
【BUUCTF】[GXYCTF2019]禁止
aoao331198的博客
04-13 822
dirsearch扫描目录发现存在git泄露 于是用GitHack 生成index.php <?php include "flag.php"; echo "flag在哪里呢?<br>"; if(isset($_GET['exp'])){ if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) { if(';' === preg_replace('/[a-z,_]+\
[GXYCTF2019]禁止-无参数rce详细分析(代码审计三)
qq_50589021的博客
06-02 282
[GXYCTF2019]禁止 做这个题的时候是不知道禁止是什么意思的,等完全理解((?R)?\)\)了这个正则匹配表达式以后就可以明白,所谓的套就是什么 考点: 无参数rce 信息泄露 利用dirsearch开延时,会扫出来.git相关的泄露,利用githack将源码down下来 <?php include "flag.php"; echo "flag在哪里呢?<br>"; if(isset($_GET['exp'])){ if (!preg_match('/data:\
web:[GXYCTF2019]禁止
sleepywin的博客
11-21 311
最后代码会检查参数中是否包含特定字符串,如"et", "na", "info", "dec", "bin", "hex", "oct", "pi", "log"等。\)\),可以迭代下去,那么它所匹配的就是print(echo(1))、a(b(c()));首先使用了正则表达式匹配来检查exp参数中是否包含“data://”,"fliter://","php://","phar://"等协议,日若包含其中任何一个协议,会输出。是PHP的一个函数,用于启动一个新的会话或者恢复一个已存在的会话。
buuctf-[GXYCTF2019]禁止(小宇特详解)
小宇的web博客
02-12 1177
buuctf-[GXYCTF2019]禁止(小宇特详解) 这里先看题 这里没有找到什么有用的信息,先使用dirsearch来爆破但是没有找到有用的,这时我就怀疑是有git泄露了这里使用githack探测发现了index.php 这里直接看源码吧 <?php 2 include "flag.php"; 3 echo "flag在哪里呢?<br>"; 4 if(isset($_GET['exp'])){//需要以GET形式传入一个名为exp的参数。如果满足条件会执行这个exp参数的
[GXYCTF2019]禁止(特详解)
热门推荐
qq_74806534的博客
01-29 2万+
loacleconv 函数会固定返回一个 . 然后pos将我们获得的 .返回到我们构造的 payload 使得 scandir能够返回当前目录下的数组(换句话说,就是读出当前目录下的文件) rray_reverse()以相反的顺序输出(目的是以正序输出查询出来的内容)然后 next 提取第二个元素(将.过滤出去),最后用highlight_file()给显示出来。localeconv() 函数返回一个包含本地数字及货币格式信息的数组,该数组的第一个元素就是"."。一个合法的表达式也可以是a(b();
俄罗斯套c语言程序
02-15
俄罗斯套是一种传统的俄罗斯玩具,它由一组套在一起的木质人偶组成,每个人偶都可以打开,里面还有一个更小的人偶。如果你想在C语言中实现俄罗斯套程序,你可以使用结构体和指针来表示套的层次结构。 首先,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值