原理
.git泄露,githack获取源码
无参RCE执行
解题过程
进入靶场,每看到有用的信息,那就只能目录扫描了,扫到了.git目录,就用githack获取源码
<?php
include "flag.php";
echo "flag在哪里呢?<br>";
if(isset($_GET['exp'])){
if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) {
if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp'])) {
if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp'])) {
// echo $_GET['exp'];
@eval($_GET['exp']);
}
else{
die("还差一点哦!");
}
}
else{
die("再好好想想!");
}
}
else{
die("还想读flag,臭弟弟!");
}
}
// highlight_file(__FILE__);
?>
第一个if过滤了四个伪协议,不让读取文件,第二个if正则确保表达式为:a(b(c()))不断嵌套。第三个if排除关键字母
解题方法参考下列文章
参考文章:https://skysec.top/2019/03/29/PHP-Parametric-Function-RCE/
https://blog.csdn.net/pakho_C/article/details/123142825