[BJDCTF 2nd]old-hack && [GXYCTF2019]禁止套娃

[BJDCTF 2nd]old-hack

页面很有意思

同时也告诉了我们是THINKPHP5，我们只需要寻找THINKPHP5的漏洞就可以了。

https://www.codercto.com/a/54587.html

可以看这篇文章，我们使用里面的payload命令执行

cat /flag一下

获得flag

[GXYCTF2019]禁止套娃

源代码里面没有什么提示，抓包也没有发现什么异常，感觉没什么思路，只能拿出御剑进行爆破，看有没有源代码泄露。

但是御剑扫了之后也没有线索，这里没有想到是.git泄露，参考了其他师傅的博客。

知道是.git泄露了之后，我们使用githack将源代码下载下来

<?php
include "flag.php";
echo "flag在哪里呢？<br>";
if(isset($_GET['exp'])){
    if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) {
        if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp'])) {
            if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp'])) {
                // echo $_GET['exp'];
                @eval($_GET['exp']);
            }
            else{
                die("还差一点哦！");
            }
        }
        else{
            die("再好好想想！");
        }
    }
    else{
        die("还想读flag，臭弟弟！");
    }
}
// highlight_file(__FILE__);
?>

　　第一个禁止我们使用php伪协议进行读取文件，第二个过滤使用了：

/[^\W]+\((?R)?\)/

　　这种正则就是无参数函数的校验，只允许这种格式的函数

a(b(c()));

a();

　　而禁止带参数的函数，如下

a('123');

　　所以我们需要使用无参数函数读取flag文件。

同时在第三层过滤中，过滤了一些关键字，这些关键字在很多重要函数中都用到了，过滤之后减少了我们能使用读取flag文件的函数。

参考一叶飘零师傅的博客：https://skysec.top/2019/03/29/PHP-Parametric-Function-RCE/

因为过滤了et关键字，所以文章中的getenv()，getallheaders()，get_defined_vars()三个函数都不能使用

尝试使用第四种方法session_id()函数

因为php默认是不主动使用Session，所以使用 session之前需要通过 session_start() 开启session选项

session_id()用来获取当前PHOSESSID的值，而PHPSESSID允许字母和数字出现，所以我们自己手动设置PHPSESSID为flag.php，用来读取flag.php文件。

在飘零师傅的博客中，虽然用到了hex2bin函数，而在黑名单中禁用了hex关键字，但是由于PHPSESSID中我们设置flag.php是允许的，所以不需要使用hex2bin函数

第五种方法是使用dirname() & chdir()等函数来进行任意文件读取

简单来说，我们要拿到flag.php的文件名，然后使用readfile函数将文件内容输出。

首先我们需要知道flag.php在哪个目录下，

我们可以使用getchwd() 函数返回当前工作目录,然后使用scandir()进行目录遍历，但是这里的et将getchwd函数过滤了，我们需要遍历当前目录，就需要获取到代表当前目录的.

这里使用localeconv() 函数

localeconv() 函数返回一包含本地数字及货币格式信息的数组。

可以看到其函数返回的第一个元素是小数点字符，即 .

接下来是如何取到第一个元素，使用current()函数

每个数组中都有一个内部的指针指向它的"当前"元素，初始指向插入到数组的第一个元素，所以我们使用current()函数就可以取到数组的第一个元素，这里配合localeconv()函数，就能取到点

接下来我们跟飘零师傅的思路一样，使用scandir()函数输出当前文件夹下的文件名。

看到了flag.php文件，在数组的第四个位置，也是数组的倒数第二个位置

我们使用array_reverse函数将数组反向之后，再使用next函数就可以取到数组中的第二个元素，即：

可以看到已经获取到了flag.php的文件名，使用readfile进行读取即可

参考博客：

https://skysec.top/2019/03/29/PHP-Parametric-Function-RCE/

https://www.suk1.top/2020/02/05/GXY%E5%A5%97%E5%A8%83/