知识点
- 目录扫描
- 关键字绕过
- 无参RCE
做题经过
看到题目一脸懵,只有一句话:flag在哪里呢?,随便输入flag.php发现没有404,说明flag就在当前目录下,然后就没思路啦。看WP发现要进行目录扫描,使用dirsearch进行目录扫描,由于出现大量429,所以加上-s 2(这个数字视情况可大可小),扫描出git目录,存在git源码泄漏,原理,可以使用GitHack工具还原git文件夹,得到index.php,如下
点击查看代码
<?php
include "flag.php";
echo "flag在哪里呢?<br>";
if(isset($_GET['exp'])){
if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) {
if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp'])) {
if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp'])) {
// echo $_GET['exp'];
@eval($_GET['exp']);
}
else{
die("还差一点哦!");
}
}
else{
die("再好好想想!");
}
}
else{
die("还想读flag,臭弟弟!");
}
}
// highlight_file(__FILE__);
?>
阅读源码可知这是RCE漏洞(@eval($_GET['exp']);
),通过传入的exp命令执行得到flag;
过滤分析
第一个preg_match()过滤了data://,filter://,phar://,基本不能用伪协议读取flag.
第二个preg_replace()使用了递归正则表达式,即(?R)会被替换为/[a-z,_]+\((?R)?\)/
,也就意味着我们只能输入类似a(),b(a())形式的命令,(括号内不能有字符)
这就是无参RCE,这篇文章给出了5种利用技巧,总结如下:
- getenv()
- getallheaders()
- get_defined_vars()
- session_id()
- getcwd()&dirname()&chdir()
通过第三个preg_match()只get被过滤,因此只有session_id()可以利用
利用方法
首先PHP读取文件大致有以下几种方法
1.file_get_contents(),函数把整个文件读入一个字符串中,返回字符串
2.highlight_file(),对文件语法高亮显示
3.show_source(),是 highlight_file() 的别名。
4.fgets(),与c语言类似,从文件指针中读取一行
5.file(),把整个文件读入一个数组中,返回数组
6.readfile(),读入一个文件并写入到输出缓冲
通过以上分析知道只能用highlight_file(),show_source(),file(),readfile()
综上,可先在cookie中设置PHPSESSID=flag.php,再利用session_start()开启session,再利用session_id()得到flag.php,最后使用上述读文件的函数得到flag。
另一种解法
localeconv() 函数返回一包含本地数字及货币格式信息的数组,数组第一项为.,第二项为..,可以用current()得到第一项,于是print_r(scandir(current(localeconv()))便会输出当前目录下所有文件,得到第三项的flag.php可用array_rand()函数,再用array_flip将键值交换,就得到:exp?exp=print_r(array_rand(array_flip(scandir(current(localeconv())))));