[GXYCTF2019]禁止套娃1(两种方法)

[GXYCTF2019]禁止套娃 1

在这里插入图片描述

进入环境,只有一串字符 查看源代码 抓包 什么都没有发现 尝试使用御剑进行目录爆破 也只是爆出了index.php

在这里插入图片描述
然后 尝试直接使用 php伪协议进行一个 flag 读取 但都失败了。在这种情况下,肯定是服务器进行了一个过滤。所以,我怀疑可能是源码泄露 。
尝试使用 GitHack 看看是不是源码泄露

GitHack 下载地址:https://github.com/lijiejie/GitHack

在这里插入图片描述
在这里插入图片描述

扒下了网站的源码
好了,现在就是代码审计了
最吸引眼球的就是 eval的一句话木马,题目又加了好多过滤限制了REC
首先是 php伪协议 data协议 filter协议 都不能使用了
然后该网站使用了正则匹配 其实这就是无参数的rce

  • 如果如果’;'===preg_replace(…),那么就执行exp传递的命令
  • (?R)? : (?R)代表当前表达式,就是这个(/[a-z,_]+((?R)?)/),所以会一直递归,?表示递归当前表达式0次或1次(若是(?R)*则表示递归当前表达式0次或多次,例如它可以匹配a(b(c()d())))

无参数REC 一般有三种绕过姿势:

  • gettallheaders()
  • get_defined_vars()
  • session_id()
    具体可以参考博客

紧接着 又是一次黑名单过滤,很多的关键字都被黑掉了(带有get 函数的,肯定是不能用了)
但还有一个函数 scandir 以扫描当前目录下的文件

这里,我就直接构造payload:

exp=highlight_file(next(array_reverse(scandir(pos(localeconv())))));
  • highlight_file() 函数对文件进行语法高亮显示,本函数是show_source() 的别名
  • next() 输出数组中的当前元素和下一个元素的值。
  • array_reverse() 函数以相反的元素顺序返回数组。(主要是能返回值)
  • scandir() 函数返回指定目录中的文件和目录的数组。
  • pos() 输出数组中的当前元素的值。
  • localeconv() 函数返回一个包含本地数字及货币格式信息的数组,该数组的第一个元素就是"."。

原理:
loacleconv 函数会固定返回一个 . 然后pos将我们获得的 .返回到我们构造的 payload 使得 scandir能够返回当前目录下的数组(换句话说,就是读出当前目录下的文件) rray_reverse()以相反的顺序输出(目的是以正序输出查询出来的内容)然后 next 提取第二个元素(将.过滤出去),最后用highlight_file()给显示出来。

在这里插入图片描述

方法二

上面 的正则过滤中 其实并没有过滤掉 session_id()
所以我们可以使用 session_id来获取 flag
session_id() 可以用来获取/设置 当前会话 ID。
在我们使用 session_id()的时候 需要使用session_start()来开启session会话
我们尝试构造payload

?exp=highlight_file( session_id(session_start()));

session_id(session_start())
使用session之前需要通过session_start()告诉PHP使用session,php默认是不主动使用session的。
session_id()可以获取到当前的session id。

在这里插入图片描述

在这里插入图片描述


原文连接:https://blog.csdn.net/m0_62879498/article/details/124538469

相关推荐

小程序如何使用订阅消息(PHP代码+小程序js代码)

开源源码商城系统盘点

html网页如何获取后台数据库的数据(html + ajax + php + mysql)

2022鹏城杯web

全国中职网络安全B模块之国赛题远程代码执行渗透测试 //PHPstudy的后门漏洞分析

使用强大的DBPack处理分布式事务(PHP使用教程)

[MRCTF2020]Ezpop-1|php序列化

12个MySQL慢查询的原因分析

OpenSea PHP开发包

php图片加水印函数

vscode按住ctrl+鼠标左键无法跟踪跳转方法名【带vscode编辑PHP的配置教程】

如何使用 PHP 实现网页交互

php7.2安装OCI8扩展支持oracle数据库

唯一邀请码生成策略

docker安装RabbitMQ

PHP跌出前十,Python依然霸占榜首,C#有望摘得年度编程语言 TIOBE 12 月编程语言排行榜

高考后能学习——阿里云-winserver服务器购买以及使用(包含【.Net】、【PHP】、【MySQL】、【Navicat】、【Java】、安装)

【历史上的今天】6 月 8 日:万维网之父诞生;PHP 公开发布;iPhone 4 问世

✨✨PHP开发者福音,支持CRUD代码生成且前后分离的tp6+Vue3后台管理系统开源啦!

PHP编码规范