参考wp [GXYCTF2019]禁止套娃_pakho_C的博客-CSDN博客_ctf禁止套娃
[GXYCTF2019]禁止套娃--详解_金 帛的博客-CSDN博客_ctf禁止套娃
进入题目环境
?源代码也啥也没有
dirsearch扫网站目录
?git泄露用GitHack下载源文件下来
?得到index.php的源码
<?php
include "flag.php";
echo "flag在哪里呢?<br>";
if(isset($_GET['exp'])){
if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) {
if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp'])) {
if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp'])) {
// echo $_GET['exp'];
@eval($_GET['exp']);
}
else{
die("还差一点哦!");
}
}
else{
die("再好好想想!");
}
}
else{
die("还想读flag,臭弟弟!");
}
}
// highlight_file(__FILE__);
?>
可以看见过滤了data://,fileter://,phar://,php://,和et,na,info,dec,bin,hex,oct,pi,log
中间的if代表匹配字母和下划线和括号比如a(b()),b_bb(c_cc())括号可以有无数个也可以没有
?(?R)是引用当前表达式,(?R)? 这里多一个?表示可以有引用,也可以没有。引用一次正则变成了[a-z,_]+[a?z,]+\((?R)?\),可以迭代下去
因为我们不能直接读flag.php,所以我们需要去找出flag.php当前的位置
数组中对指针变换的函数
array_reverse ( array $array [, bool $preserve_keys = FALSE ] ) : array array_reverse() 接受数组 array 作为输入并返回一个单元为相反顺序的新数组。 array_flip() 交换数组的键和值 array_rand() 从数组中随机取出一个或多个单元,不断刷新访问就会不断随机返回 end() - 将数组的内部指针指向最后一个单元 key() - 从关联数组中取得键名 each() - 返回数组中当前的键/值对并将数组指针向前移动一步 prev() - 将数组的内部指针倒回一位 reset() - 将数组的内部指针指向第一个单元 next() - 将数组中的内部指针向前移动一位
法一
print_r用于输出数组
用scandir列出指定目录中的文件和目录,当参数为.时,即列出当前目录的文件
用localeconv() 函数返回一包含本地数字及货币格式信息的数组。返回的第一个就是.
再用current() 函数返回数组中的当前元素的值。或者是pos也可以
每个数组中都有一个内部的指针指向它的"当前"元素,初始指向插入到数组中的第一个元素。
?最后加上scandir
?可以看见flag.php在第三个位置,而我们不能直接读取第三个位置的flag.php
利用数组反转array_reverse()和数组指针移动下一位next让其在第二个位置就能够读取了
?再用show_source查看内容
?或者是highlight_file
?还有readfile,在源代码里可以看见
或者是利用array_rand随机取
?exp=highlight_file(array_rand(array_flip(scandir(current(localeconv())))));
?
法二
session_id可以获取PHPSESSID的值,PHPSESSID允许字母和数字出现
因此我们在请求包中cookie:PHPSESSID=flag.php使用session之前需要通过session_start()告诉PHP使用session,php默认是不主动使用session的。
session_id()可以获取到当前的session id。
这样可以构造payload:?exp=readfile(session_id(session_start()));
达到任意文件读取的效果:
如下
