[BJDCTF2nd]oldhack&&[GXYCTF2019]禁止套娃

[BJDCTF 2nd]old-hack

 页面很有意思

同时也告诉了我们是THINKPHP5，我们只需要寻找THINKPHP5的漏洞就可以了。

https://www.codercto.com/a/54587.html

可以看这篇文章，我们使用里面的payload命令执行

 cat /flag一下

 获得flag

[GXYCTF2019]禁止套娃

 源代码里面没有什么提示，抓包也没有发现什么异常，感觉没什么思路，只能拿出御剑进行爆破，看有没有源代码泄露。

但是御剑扫了之后也没有线索，这里没有想到是.git泄露，参考了其他师傅的博客。

知道是.git泄露了之后，我们使用githack将源代码下载下来

　　第一个禁止我们使用php伪协议进行读取文件，第二个过滤使用了：

　　这种正则就是无参数函数的校验，只允许这种格式的函数

　　而禁止带参数的函数，如下

　　所以我们需要使用无参数函数读取flag文件。

同时在第三层过滤中，过滤了一些关键字，这些关键字在很多重要函数中都用到了，过滤之后减少了我们能使用读取flag文件的函数。

 参考一叶飘零师傅的博客：https://skysec.top/2019/03/29/PHP-Parametric-Function-RCE/

因为过滤了et关键字，所以文章中的getenv()，getallheaders()，get_defined_vars()三个函数都不能使用

尝试使用第四种方法session_id()函数

因为php默认是不主动使用Session，所以使用 session之前需要通过 session_start() 开启session选项

session_id()用来获取当前PHOSESSID的值，而PHPSESSID允许字母和数字出现，所以我们自己手动设置PHPSESSID为flag.php，用来读取flag.php文件。

在飘零师傅的博客中，虽然用到了hex2bin函数，而在黑名单中禁用了hex关键字，但是由于PHPSESSID中我们设置flag.php是允许的，所以不需要使用hex2bin函数

第五种方法是使用dirname() & chdir()等函数来进行任意文件读取

简单来说，我们要拿到flag.php的文件名，然后使用readfile函数将文件内容输出。

首先我们需要知道flag.php在哪个目录下，

我们可以使用getchwd() 函数返回当前工作目录,然后使用scandir()进行目录遍历，但是这里的et将getchwd函数过滤了，我们需要遍历当前目录，就需要获取到代表当前目录的.

这里使用localeconv() 函数

localeconv() 函数返回一包含本地数字及货币格式信息的数组。

 可以看到其函数返回的第一个元素是小数点字符，即 .

接下来是如何取到第一个元素，使用current()函数

 每个数组中都有一个内部的指针指向它的"当前"元素，初始指向插入到数组的第一个元素，所以我们使用current()函数就可以取到数组的第一个元素，这里配合localeconv()函数，就能取到点

 接下来我们跟飘零师傅的思路一样，使用scandir()函数输出当前文件夹下的文件名。

 看到了flag.php文件，在数组的第四个位置，也是数组的倒数第二个位置

我们使用array_reverse函数将数组反向之后，再使用next函数就可以取到数组中的第二个元素，即：

 可以看到已经获取到了flag.php的文件名，使用readfile进行读取即可

参考博客：

https://skysec.top/2019/03/29/PHP-Parametric-Function-RCE/

https://www.suk1.top/2020/02/05/GXY%E5%A5%97%E5%A8%83/