[BJDCTF 2nd]old-hack
页面很有意思
同时也告诉了我们是THINKPHP5,我们只需要寻找THINKPHP5的漏洞就可以了。
https://www.codercto.com/a/54587.html
可以看这篇文章,我们使用里面的payload命令执行
cat /flag一下
获得flag
[GXYCTF2019]禁止套娃
源代码里面没有什么提示,抓包也没有发现什么异常,感觉没什么思路,只能拿出御剑进行爆破,看有没有源代码泄露。
但是御剑扫了之后也没有线索,这里没有想到是.git泄露,参考了其他师傅的博客。
知道是.git泄露了之后,我们使用githack将源代码下载下来
<?php
include "flag.php";
echo "flag在哪里呢?<br>";
if(isset($_GET['exp'])){
if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) {
if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp'])) {
if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp'])) {
// echo $_GET['exp'];
@eval($_GET['exp']);
}
else{
die("还差一点哦!");
}
}
else{
die("再好好想想!");
}
}
else{
die("还想读flag,臭弟弟!");
}
}
// highlight_file(__FILE__);
?>
第一个禁止我们使用php伪协议进行读取文件,第二个过滤使用了:
/[^\W]+\((?R)?\)/
这种正则就是无参数函数的校验,只允许这种格式的函数
a(b(c())); a();
而禁止带参数的函数,如下
a('123');
所以我们需要使用无参数函数读取flag文件。
同时在第三层过滤中,过滤了一些关键字,这些关键字在很多重要函数中都用到了,过滤之后减少了我们能使用读取flag文件的函数。
参考一叶飘零师傅的博客:https://skysec.top/2019/03/29/PHP-Parametric-Function-RCE/
因为过滤了et关键字,所以文章中的getenv(),getallheaders(),get_defined_vars()三个函数都不能使用
尝试使用第四种方法session_id()函数
因为php默认是不主动使用Session,所以使用 session之前需要通过 session_start() 开启session选项
session_id()用来获取当前PHOSESSID的值,而PHPSESSID允许字母和数字出现,所以我们自己手动设置PHPSESSID为flag.php,用来读取flag.php文件。
在飘零师傅的博客中,虽然用到了hex2bin函数,而在黑名单中禁用了hex关键字,但是由于PHPSESSID中我们设置flag.php是允许的,所以不需要使用hex2bin函数
第五种方法是使用dirname() & chdir()等函数来进行任意文件读取
简单来说,我们要拿到flag.php的文件名,然后使用readfile函数将文件内容输出。
首先我们需要知道flag.php在哪个目录下,
我们可以使用getchwd() 函数返回当前工作目录,然后使用scandir()进行目录遍历,但是这里的et将getchwd函数过滤了,我们需要遍历当前目录,就需要获取到代表当前目录的.
这里使用localeconv() 函数
localeconv() 函数返回一包含本地数字及货币格式信息的数组。
可以看到其函数返回的第一个元素是小数点字符,即 .
接下来是如何取到第一个元素,使用current()函数
每个数组中都有一个内部的指针指向它的"当前"元素,初始指向插入到数组的第一个元素,所以我们使用current()函数就可以取到数组的第一个元素,这里配合localeconv()函数,就能取到点
接下来我们跟飘零师傅的思路一样,使用scandir()函数输出当前文件夹下的文件名。
看到了flag.php文件,在数组的第四个位置,也是数组的倒数第二个位置
我们使用array_reverse函数将数组反向之后,再使用next函数就可以取到数组中的第二个元素,即:
可以看到已经获取到了flag.php的文件名,使用readfile进行读取即可
参考博客: