web buuctf [GXYCTF2019]禁止套娃1

最新推荐文章于 2024-08-10 18:49:59 发布
原创 最新推荐文章于 2024-08-10 18:49:59 发布
· 1.9k 阅读 · 6 ·
版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#.git泄露 #无参RCE

考点:1.git泄露

2.无参RCE

1.用御剑扫后台没扫到啥东西

看robots.txt文本,也没有

2.都这样了,考虑一下有没有可能存在.git泄露

(我装了两个版本的python,githack需要在python2下运行)

 

index.php源码如下

<?php
include "flag.php";
echo "flag在哪里呢?<br>";
if(isset($_GET['exp'])){
    if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) {
        if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp'])) {
            if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp'])) {
                // echo $_GET['exp'];
                @eval($_GET['exp']);
            }
            else{
                die("还差一点哦!");
            }
        }
        else{
            die("再好好想想!");
        }
    }
    else{
        die("还想读flag,臭弟弟!");
    }
}
// highlight_file(__FILE__);
?>

if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp']))

过滤了伪协议

  if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp']))

过滤了很多字符,像get啥的都不能用了

 if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp']))

  这段代码的核心就是只允许函数而不允许函数中的参数,就是说传进去的值是一个字符串接一个(),那么这个字符串就会被替换为空,如果替换后只剩下;,那么这个条件就成立。

+:量词:匹配1到无穷次,尽可能多匹配,如果有必要,回溯匹配更少内容(贪婪)

(?R)?递归引用整个表达式  后面的?是量词,匹配0个到1个,尽可能多匹配如果有必要,回溯更少的内容(贪婪)

举例:像a(b(c()));第一次匹配后就还剩下a(b());,第二次匹配后就还剩a();,第三次匹配后就还剩;了,所以说这一串a(b(c())),就会被eval执行,但相反,像a(b('111'));这种存在参数的就不行,因为无论正则匹配多少次它的参数总是存在的。那假如遇到这种情况,我们就只能使用没有参数的php函数,

可以参考RCE篇之无参数rce - 学安全的小白 - 博客园

我们开始构造payload

需要先查看一下当前的目录情况

 scandir(current(localecnov())) 

localecnov() 函数返回一个包含本地数字及货币格式信息的数组。相当于Linux的ls。(我上面放的链接也简单说了一下这个函数)。

scandir()就是列出目录中的文件和目录.

current() 返回数组中当前元素的值

我们还需要把他打印出来,所以

payload:  exp=print_r(scandir(current(localeconv())));

 

使用反转数组函数:array_reverse()。再让指针指向下一个数组元素(第二个)next()

exp=print_r(next(array_reverse(scandir(current(localeconv())))));

 根据源码提示,使用高亮函数(highlight_file()当使用该函数时,整个文件都将被显示,包括密码和其他敏感信息!)

highlight_file(next(array_reverse(scandir(current(localeconv())))));

 得到flag{c69be6ff-89a9-43fd-a5c4-b2af68bdd1fe}

数函数RCE+[GXYCTF2019]禁止套娃 1
bazzza的博客
12-27 1016
目录无RCE常用函数数组操作array_fliparray_randarray_reversecurrent文件file_get_contents()readfile()highlight_file()[别名:show_source()]scandir()direname()getcwd()chdir($directory)读取环境变量get_defined_vars()getenvlocaleconv()phpversion()会话session_idsession_start其它[GXYCTF201
BuuCTF [GXYCTF2019]禁止套娃详解(两种方法)
2301_76690905的博客
10-28 938
点入题目没有提示,常规抓包看源码扫目录,用dirsearch扫目录的时候扫出git第一眼看见第二个if语句,if(';R)?\)/', NULL, $_GET['exp']))可以看出这是典型的无rce,然后是后面的if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp']),这里限制了phpinfo(),getcwd()这些函数用不了。
buuctf-[GXYCTF2019]禁止套娃1-详解-无rce
最新发布
chinese_cabbage0的博客
08-10 765
讲解了buuctf的[GXYCTF2019]禁止套娃题目的解题过程,非常详细,附有两种解题方法
BUUCTF WEB 禁止套娃1
qq_41696858的博客
12-08 785
打开场景,空荡荡的,啥也没有 正常思路,扫目录,dirsearch有防扫,dirmap 扫出来.git,源码泄露没跑了 GitHacker跑出来是空文件,我也不知道为啥 GitHack看看能不能找出什么有用的东西,跑出来index.php的源码 源码如下 <?php include "flag.php"; echo "flag在哪里呢?<br>"; if(isset($_GET['exp'])){ if (!preg_match('/data:\/\/|filter:\/\/|ph
[GXYCTF2019]禁止套娃 1
shinygod的博客
03-05 318
知识点:通过读取数组来执行命令语句 目录过滤层payload原理及函数解释流程图: 过滤层 第一层禁了伪协议。 第二层,(?R)引用当前表达式,后面加了?递归调用,只能匹配通过无数的函数,所以一个合法的表达式可以是a(b()😉,括号和字符组成的。 第三层禁了一些关键词。 <?php include "flag.php"; echo "flag在哪里呢?<br>"; if(isset($_GET['exp'])){ if (!preg_match('/data:\/\/|filt
#WEB-buuctf-禁止套娃 1
weixin_52804141的博客
12-25 264
是一个黑名单绕过像et,na,info,dec,bin,hex,oct,pi,log,i不能使用。因为上述过滤的并未过滤 session_id() 所以我想到的使用 session_id来获取 flag。)时,可执行exp传递的命令。然后过滤了data协议,filter协议,php伪协议,phar。一,进入环境,在目录扫描未果,猜测可能是.git泄露,尝试一下。二,利用工具scrabble,果真是.git泄露1.git泄露,scrabble的使用。得到如下源码,开始代码审计。2,无RCE,通过。
buuctf-[GXYCTF2019]禁止套娃
qq_42728977的博客
12-24 3921
[GXYCTF2019]禁止套娃考点复现法一:单纯构造GET数法二:构造session组合拳考 考点 正则表达、无rcegit泄露 复现 法一:单纯构造GET数 打开就一句 然后查看源码,空空如也。想到扫描后台文件,使用御剑很慢,使用dirsearch,一直429,查找资料,加了-s数,也就是扫描不能太快。 python3 .\dirsearch.py -u http://5c0edec0-316a-4de9-999a-669f813c771b.node4.buuoj.cn:81/ -e
BUUCTF之[GXYCTF2019]禁止套娃 ------GitHack源码泄露
weixin_44632787的博客
07-27 448
BUUCTF之[GXYCTF2019]禁止套娃 ------GitHack源码泄露 知识点 GitHack源码泄露 localeconv() 函数返回一包含本地数字及货币格式信息的数组。 老实说,这道题我根本不会做。但是里面有好几处知识点我之前都没有接触过,所以先做下记录,,, ...
BUUCTF-WEB
ccfly1012的博客
11-02 4086
目录 [HCTF 2018]WarmUp [极客大挑战 2019]EasySQL 总结万能密码 [极客大挑战 2019]Havefun [强网杯 2019]随便注 [ACTF2020 新生赛]Include [SUCTF 2019]EasySQL [极客大挑战 2019]Secret File [ACTF2020 新生赛]Exec [极客大挑战 2019]LoveSQL [GXYCTF2019]Ping Ping Ping [HCTF 2018]WarmUp 打开网页,查看一下源代
BUUCTF web(五)
m0_46616663的博客
11-21 1011
[GXYCTF2019]BabyUpload 传呗,先传个php一句话 检测后缀了,大小写也绕不过去 试了下别的后缀也不大行 抓包康康 抓包改后缀和content-type倒是能绕过,但是上传的文件依旧是一个jpg而不会被当作php解析 嘶。。。欸?等等 那还等啥,传它! 直接传也是不行的,抓包改下content-type 之前已经传过马了,连下试试 芜湖!flag在根路径里 拿来吧你! [BUUCTF 2018]Online Tool $host = escapeshellarg($h
BUUCTF [GXYCTF2019] 禁止套娃
nareku的博客
06-29 1545
这题对我这个小白来说好难理解,慢慢补坑吧。PHP很多常用的函数都不是很了解,命令执行也是呜呜呜感觉学得还不是很精通。打开题目,只有如下:看源码也没有什么东西,常见的信息泄露:robots协议,备用文件,目录爆破,.git泄露都试试(看其他师傅的wp:也可以扫描后台,不太清楚为什么自己实操跑不出来有点奇怪),最后发现是.git泄露使用GitHack工具,py脚本跑一下得到后台源码: 得到的源码会留在工具所在的文件夹内,查看里面的index.php页面源码 解题过程: (一)在上面传送门的那个师傅的博
被监督写博客-Day6
veinard_F的博客
10-09 270
今天做的这道题也不是很难,就是在做题的时候需要联系一些函数的功能,先记录一下这些函数: scandir()可以扫描当前目录下的文件 localeconv() 返回一包含本地数字及货币格式信息的数组 array_reverse()以相反的元素顺序返回数组 array_flip()交换数组的键和值 array_rand()从数组中随机取出一个或多个单元,不断刷新访问就会不断随机返回 current()返回数组当前的值 next()将内部指针指向数组中的下一个元素,并输出 题目 [GXYCTF2019]禁止
BUUCTF WEB [GXYCTF2019]禁止套娃
Y1da的博客
04-22 1564
BUUCTF WEB [GXYCTF2019]禁止套娃 没有任何提示,使用dirsearch扫描 # Dirsearch started Fri Apr 22 02:23:09 2022 as: ./dirsearch.py -u http://ffd94bba-98ea-4150-9103-09306827d709.node4.buuoj.cn:81/ --delay=0.5 -t 3 301 185B http://ffd94bba-98ea-4150-9103-09306827d709
[GXYCTF2019]禁止套娃1(无RCE)
BoJing6的博客
03-29 615
这一题用githack获取源码我就不讲了,我想说的是这个题的方法和我自己的理解!这段代码就是禁止我们用一些php伪协议之类的东西if(';R)?这个就比较有意思了大概的意思就是把'a-z,_'之后的东西转义为NULL,通俗来说就是可以使用函数但是不能使用数,下面是在shell中的测试结果解法一:函数介绍:scandir() :将返回当前目录中的所有文件和目录的列表。返回的结果是一个数组,其中包含当前目录下的所有文件和目录名称(glob()可替换)
[GXYCTF2019]禁止套娃1(两种方法)
m0_62879498的博客
05-02 6443
[GXYCTF2019]禁止套娃 1 进入环境,只有一串字符 查看源代码 抓包 什么都没有发现 尝试使用御剑进行目录爆破 也只是爆出了index.php 然后 尝试直接使用 php伪协议进行一个 flag 读取 但都失败了。在这种情况下,肯定是服务器进行了一个过滤。所以,我怀疑可能是源码泄露 。 尝试使用 GitHack 看看是不是源码泄露 GitHack 下载地址:https://github.com/lijiejie/GitHack 扒下了网站的源码 好了,现在就是代码审计了 最吸引眼球
BUUCTF】[GXYCTF2019]禁止套娃
aoao331198的博客
04-13 882
dirsearch扫描目录发现存在git泄露 于是用GitHack 生成index.php <?php include "flag.php"; echo "flag在哪里呢?<br>"; if(isset($_GET['exp'])){ if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) { if(';' === preg_replace('/[a-z,_]+\
BUUCTF-----[GXYCTF2019]禁止套娃
woshicainiao666的博客
03-17 598
highlight_file() 是 PHP 中的一个函数,用于以 HTML 格式高亮显示指定文件的 PHP 代码。想要查看当前目录下的文件,scandir(.)括号中必须带点,但是被过滤,所以找输出为点的函数就行。输出array,第一个就是点字符,所以在找一个输出array中第一个数值的函数。过滤et|na|info|dec|bin|hex|oct|pi|log字符。目录扫描,扫到.git泄露,使用工具查看到index.php的源码。是将数组进行移动,对返回值不行,只能另想个办法,
BUUCTF-WEB-[GXYCTF2019]禁止套娃
r1727337824的博客
08-29 538
.git源码泄露+代码审计 转载大佬的WP https://blog.csdn.net/weixin_43952190/article/details/107061554 1.打开网址只显示了flag在哪,查看源代码无任何有用信息 2.用御剑也没搜索到后台目录 3.这时候考虑源码泄露 打开网址 http://33c53ef7-d371-44a3-8d84-7ab89291c754.node3.buuoj.cn/.git 出现403错误 403错误是一种在网站访问过程中,常见的错误提示,表示资源不可用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值