无参数函数RCE+[GXYCTF2019]禁止套娃 1

最新推荐文章于 2025-09-21 09:56:51 发布
原创 最新推荐文章于 2025-09-21 09:56:51 发布 · 1k 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #php #git #正则表达式

本文探讨了如何在遇到正则过滤的情况下实现无参数PHP函数RCE,介绍了各种函数如array_*, file_*, 和会话控制函数的用法,以及在CTF挑战中如何应用这些技巧读取文件和执行命令。" 132145164,11090819,Android12 永不熄屏与锁屏移除设置,"['Android开发', '系统定制', '用户体验']

目录

无参数RCE

无参数RCE就类似与在我们经常使用的一句话木马前面,加上了对对参数的过滤,过滤的正则一般类似于这道ctf题目给的这种。

if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp']){
   
   
	eval($_GET['exp']);
	}
		 
[a-z,_]+ : 匹配小写字母和下划线_ 1次或多次
\( : 左括号
(?R) : 代表当前表达式,就是这个(/[a-z,_]+\((?R)?\)/),所以会一直递归
(?R)? : 递归当前表达式0次或1// (?R)* : 递归当前表达式0次或多次
\) : 右括号

这个正则只会匹配到
a();
a(b());
a(b(c
最低0.47元/天 解锁文章
web buuctf [GXYCTF2019]禁止套娃1
weixin_44214568的博客
03-24 2067
考点:1.git泄露 2.无参RCE 1.用御剑扫后台没扫到啥东西 看robots.txt文本,也没有 2.都这样了,考虑一下有没有可能存在.git泄露, (我装了两个版本的python,githack需要在python2下运行) index.php源码如下 <?php include "flag.php"; echo "flag在哪里呢?<br>"; if(isset($_GET['exp'])){ if (!preg_match('/data:.
[GXYCTF2019]禁止套娃1 writeup
m0_65080524的博客
08-14 273
preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) : 对输入参数exp做了过滤,把data、filter、php,phar等等php伪协议,别看好像很多\和/ 其实原型是data:// 然后利用\ 去转义/ 所以就变成data:\ /\ /preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp'])) 过滤了很多敏感文件的关键字。
渗透测试练习题解析 4(CTF web)
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
02-18 2114
这个其实挺难想到的,开始我也没想到,看了大佬 wp 才知道,因为前面有个地方干扰到我了,这一串我前面试了很多又是解码又是转图片转文件都没解出来,我以为这个位置的数据没什么用,导致后面没去理这块地方(没猜错的话应该是这个熊猫图的编码,不过不知道为什么转码转不出来)来查看当前目录所有文件名,但是 scandir('.') 包含参数了,不符合条件,所以需要使用别的函数来替代。),使其满足三个 if 条件中的一个,从而执行 $flag 得到 flag,而不是说要绕过三个 if ,去执行最后一行代码,这是不现实的。
[GXYCTF2019]禁止套娃 1
qq_43618536的博客
07-04 533
BUUCTF的[GXYCTF2019]禁止套娃 1
[ctf web]从 [GXYCTF2019]禁止套娃 开始的无参数函数RCE
ShenZ的博客
08-15 495
无参数函数RCE [GXYCTF2019]禁止套娃 wp 无参数函数RCE sky大佬yyds!rce一定要看大佬的文章!!link
BuuCTF [GXYCTF2019]禁止套娃详解(两种方法)
2301_76690905的博客
10-28 1098
点入题目没有提示,常规抓包看源码扫目录,用dirsearch扫目录的时候扫出git第一眼看见第二个if语句,if(';R)?\)/', NULL, $_GET['exp']))可以看出这是典型的无参数rce,然后是后面的if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp']),这里限制了phpinfo(),getcwd()这些函数用不了。
buuctf-[GXYCTF2019]禁止套娃
qq_42728977的博客
12-24 4022
[GXYCTF2019]禁止套娃考点复现法一:单纯构造GET参数法二:构造session组合拳参考 考点 正则表达、无参数rcegit泄露 复现 法一:单纯构造GET参数 打开就一句 然后查看源码,空空如也。想到扫描后台文件,使用御剑很慢,使用dirsearch,一直429,查找资料,加了-s参数,也就是扫描不能太快。 python3 .\dirsearch.py -u http://5c0edec0-316a-4de9-999a-669f813c771b.node4.buuoj.cn:81/ -e
[GXYCTF2019]禁止套娃1(无参RCE)
BoJing6的博客
03-29 761
这一题用githack获取源码我就不讲了,我想说的是这个题的方法和我自己的理解!这段代码就是禁止我们用一些php伪协议之类的东西if(';R)?这个就比较有意思了大概的意思就是把'a-z,_'之后的东西转义为NULL,通俗来说就是可以使用函数但是不能使用参数,下面是在shell中的测试结果解法一:函数介绍:scandir() :将返回当前目录中的所有文件和目录的列表。返回的结果是一个数组,其中包含当前目录下的所有文件和目录名称(glob()可替换)
[GXYCTF2019]禁止套娃1(两种方法)
m0_62879498的博客
05-02 7185
[GXYCTF2019]禁止套娃 1 进入环境,只有一串字符 查看源代码 抓包 什么都没有发现 尝试使用御剑进行目录爆破 也只是爆出了index.php 然后 尝试直接使用 php伪协议进行一个 flag 读取 但都失败了。在这种情况下,肯定是服务器进行了一个过滤。所以,我怀疑可能是源码泄露 。 尝试使用 GitHack 看看是不是源码泄露 GitHack 下载地址:https://github.com/lijiejie/GitHack 扒下了网站的源码 好了,现在就是代码审计了 最吸引眼球
[GXYCTF2019]禁止套娃
as you know, nlp is fantasitc!
01-26 394
[GXYCTF2019]禁止套娃 ​ 写在前面的话:在比赛中做过一次这样的题,现在遇到这样的题理解起来更容易 ​ 考点: 1git泄漏 2、无参数rce index.php源码如下 <?php include "flag.php"; echo "flag在哪里呢?<br>"; if(isset($_GET['exp'])){ if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp']))
[GXYCTF2019]禁止套娃1
最新发布
2401_86572133的博客
09-21 971
文章摘要:通过.git泄露发现PHP源码,审计发现存在严格的输入过滤机制。利用递归正则限制用户输入仅允许特定格式的函数调用。通过研究内置函数特性构造payload,成功绕过防护:highlight_file(next(array_reverse(scandir(pos(localeconv())))))。该payload通过层层函数调用获取目录列表并读取flag文件,展示了在严格限制环境下如何利用PHP内置函数链实现代码执行。(149字)
[GXYCTF2019]禁止套娃 1--无参数RCE
cainiao17441898的博客
05-22 813
前言: 无参数RCE RCE hex2bin() 函数把十六进制值的字符串转换为 ASCII 字符。 localeconv() 函数返回一包含本地数字及货币格式信息的数组。 localeconv() 函数会返回以下数组元素: [decimal_point] - 小数点字符......... array_flip() 函数用于反转/交换数组中的键名和对应关联的键值。 array_rand() 函数返回数组中的一个随机键名,或者如果指定函数返回键名不只一个,则返回一个包含随机键名的数组。 get_define
[GXYCTF2019]佛系青年
03-24
### 关于 GXYCTF 2019 中 '佛系青年' 题目的解题思路 尽管当前提供的引用中并未直接提及 '佛系青年' 这一具体题目,但从整体比赛的性质以及相关技术背景出发,可以推测该题目可能涉及 Web 安全领域中的常见漏洞利用或逆向工程挑战。 #### 可能的技术方向 根据 CTF 比赛的一般模式,尤其是 GXYCTF 2019 的其他题目描述[^1],可推断 '佛系青年' 很可能是基于以下几种常见的安全问题之一: 1. **SQL 注入 (SQL Injection)** 如果题目涉及到数据库交互,则可能存在 SQL 注入的可能性。参赛者需通过构造特定输入来绕过验证机制并获取敏感数据。例如,在 BabySqli 题目中提到的内容表明了这种可能性的存在。 2. **远程命令执行 (Remote Code Execution, RCE)** 若目标程序允许动态解析用户输入作为脚本运行环境的一部分,则容易引发无参数 RCE 攻击面暴露的情况。这可以从另一则参考资料 ByteCTF_2019 BoringCode 的分析得到启示[^2]。 3. **文件上传与解析漏洞** 对应到 BabyUpload 类型的任务设计上来看,“佛系青年”也许隐藏着类似的逻辑缺陷——即不当处理上传文件类型或者路径穿越等问题从而实现进一步突破。 4. **反序列化攻击** 当应用程序依赖外部传来的对象状态恢复功能时未做充分校验的话就会形成此类风险点;这也是现代Web应用防护重点所在之一。 5. **Flag 提交格式差异注意** 值得注意的是,在某些情况下即使找到了正确的 flag 表达形式但由于主办方失误等原因造成最终答案呈现方式略有不同(如由 `GXY{}` 转变为通用模板下的 `flag{}`),这一点已经在过往经验中有体现出来[^3]。 #### 推荐解决方法概述 针对上述潜在的安全隐患类别分别采取对应措施如下所示: - 使用布尔盲注法测试是否存在注入点,并尝试提取所需信息; - 寻找支持 eval() 函数调用或其他危险操作的地方加以滥用达成任意代码执行效果; - 细致审查服务端对于客户端递交过来的数据包结构定义规则找出薄弱环节进而实施有效载荷投放行动; - 利用已知框架特性探索其内部工作机制寻找突破口完成任务需求满足条件即可获得胜利果实啦! 以下是简单的 Python 脚本来演示如何自动化探测基本类型的 web 应用层面上存在的安全隐患实例片段供参考学习之用: ```python import requests url = "http://example.com/vulnerable_endpoint" payloads = ["'", '"', ';--', ' OR 1=1 -- ', ') UNION SELECT NULL, username || ':' || password FROM users LIMIT 1 OFFSET 0 -- '] for payload in payloads: response = requests.post(url, data={'input': payload}) if "error" not in response.text.lower(): print(f"[+] Potential vulnerability found with payload: {payload}") ``` 此段代码仅为教学用途展示基础概念,请勿非法使用。 ---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值