BUUCTF WEB Easy Calc

最新推荐文章于 2023-05-18 23:04:05 发布
最新推荐文章于 2023-05-18 23:04:05 发布
阅读量308 收藏 4
点赞数
分类专栏: BUUCTF 文章标签: php web 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Ethan552525/article/details/119702899
版权

题目:

 解题:

1:查看源码

         发现提示:I've set up WAF to ensure security.

                           url:"calc.php?num=

2:尝试calc.php页面

        过滤了一些特殊符号:空格、\t、\r等,正确传入num参数后,执行 eval('echo '.$str.';'); 语句。

3:尝试num=phpinfo() 

        输入:http://node4.buuoj.cn:25599/calc.php?num=phpinfo()

         无法访问,说明WAF对num参数做了过滤。

        (WAF对来自Web应用程序客户端的各类请求进行内容检测和验证,确保其安全性与合法性,对非法的请求予以实时阻断,从而对各类网站站点进行有效防护。)

        输入num=123可以回显123,输入num=abc被拒绝,猜测WAF对num参数过滤了英文字母。

4:查询字符串解析特性

parse_str函数        

        parse_str() 函数把查询字符串解析到变量中。

        语法:parse_str(string,array)

        参数:string:必需。规定要解析的字符串。

                   array:可选。规定存储变量的数组名称。该参数指示变量存储到数组中。如果未设置 array 参数,由该函数设置的变量将覆盖已存在的同名变量。

        具体介绍:https://www.runoob.com/php/func-string-parse-str.html

        parse_str函数通常被自动应用于get、post请求和cookie中。如果你的Web服务器接受带有特殊字符的参数名,parse_str() 函数在解析的过程中会将某些特殊字符删除或用下划线代替。具体情形如下: 

情形问号处特殊字符解析结果
?foo_bar=bla%20  ( )foo_bar
%2b  (+)
foo?bar=bla%20  ( )
%2b  (+)
%2e  (.)
%5b  ([)
%5f  (_)
foo_bar?=bla%00  ()

        可在php交互模式下自行验证:

5:利用查询字符串解析特性绕过WAF

        WAF能够过滤特定Web应用程序的内容,利用查询字符串解析特性,将num参数变形:http://node4.buuoj.cn:25153/calc.php?+num=abc,这样对于WAF来说传入的参数为+num,而WAF并没有对+num参数做限制,而PHP经过parse_str函数解析过后获得的仍然是num参数,这样就绕过了WAF。

6:读根目录

scandir 函数

        scandir(string $directory, int $sorting_order)

        返回指定目录中的文件和目录的数组。

        参数: directory:要被浏览的目录

                    sorting_order:默认的排序顺序是按字母升序排列,如果sorting_order设为 1,则降序排列。

print_r 函数

        print_r ( mixed $expression )

        $expression: 要打印的变量,如果给出的是 string、integer 或 float 类型变量,将打印变量值本身。如果给出的是 array,将会按照一定格式显示键和元素。

chr 函数

        chr(int $ascii): string        

        返回相对应于 ascii码 所指定的单个字符。

        因为 “/” 符号被过滤了,所以用chr(47)绕过。

        读取根目录:http://node4.buuoj.cn:25345/calc.php?+num=print_r(scandir(chr(47)))

        右键查看网页源代码得到:文件f1agg

 7:读取文件f1agg

readfile 函数

        readfile(string: $filename, string: $include_path) 

)

        readfile() 函数输出一个文件。该函数读入一个文件并写入到输出缓冲,若成功,则返回从文件中读入的字节数;若失败,则返回 false。

        参数: $filename : 规定要读取的文件。

                    $include_path:可选,在 include_path 中搜索文件。

        http://node4.buuoj.cn:25345/calc.php?+num=readfile(chr(47).chr(102).chr(49).chr(97).chr(103).chr(103))

        得到flag:

Ethan552525
关注
专栏目录
BUUCTF [RoarCTF 2019]Easy Calc1
qq_35874748的博客
10-19 3000
一.打开题目后: 二.Ctrl+U查看源代码: 发现存在WAF和一个文件calc.php,这里我们就需要简单的了解下什么是WAF了: WAF的全称是(Web Application Firewall)即Web应用防火墙,简称WAF。 那么WAF能做什么? WAF可以过滤HTTP/HTTPS协议流量,防护Web攻击。 WAF可以对Web应用进行安全审计 WAF可以防止CC攻击 应用交付 CC攻击:通过大量请求对应用程序资源消耗最大的应用,如...
ctf (easy_eval)
Glacier_Mount的博客
07-02 1807
反序列化、redis
BUUCTF-web-[RoarCTF 2019]Easy Calc
weixin_44866139的博客
05-15 661
有一段注释说这题有WAF,那肯定思路就是如何绕过WAF拿到flag了 进入题目是一个计算器,只能输入正常的数学计算式,字母什么的都输入不了,回显计算不出来,查看源码,发现是在calc.php里面计算的,而且提示说存在Waf,这些字母应该就是Waf过滤的,访问calc.php <?php error_reporting(0); if(!isset($_GET['num'])){ show_source(__FILE__); }else{ $str = $_GET['num'];
BUUCTF - web - Easy Calc
1tachi的博客
11-03 197
文章目录Easy Calc知识点构造payload Easy Calc 拿到一个计算器,看不出端倪,查看源码 有一段注释说这题有WAF,那思路应该就清晰了,绕WAF JS里面写道有Calc.php文件,可以查看一下 可以看到绕过了很多符号和字母 知识点 假如WAF不允许num变量传递字母,可以在num前加个空格,这样WAF就找不到num这个变量了,因为现在的变量叫" num",而不是"num"。但php在解析的时候,会先把空格给去掉,这样我们的代码还能正常运行,还上传了非法字符。 scandir():
BUUCTF WEB [RoarCTF 2019]Easy Calc(小宇特详解)
小宇的web博客
01-18 750
BUUCTF WEB [RoarCTF 2019]Easy Calc(小宇特详解) 打开网页后是这样的。 这里先查看一下源代码 这里显示是有waf的,直接访问一下calc.php来查看。 <?php error_reporting(0); if(!isset($_GET['num'])){ show_source(__FILE__); }else{ $str = $_GET['num']; $blacklist = [' ', '\t', '\r', '\n
BUUCTF web Easy Calc (php字符串解析)
H4ppyD0g的博客
02-23 635
看一眼源码,就是计算。但是给出了url,应该是传递给那个calc.php了吧。 访问一下calc.php 我们需要绕过黑名单给num传参,然后让eval去执行这个str 知识盲区 我们在url传参可以传各种字符,但是php解析字符时要把所有字符全部转化为有效的变量名,因此它会做两件事:1.删除空白符、2.将某些字符转换为下划线(包括空格) 比如说我们传递一个x=a ?x=a,但是waf不允许...
BUUCTF Easy Calc
qq_43622442的博客
04-12 1135
BUUCTF Easy Calc = = 1.打开网站,让我们算术: 2.看到框框肯定要插一下: 3.拦截了,猜测后端应该是直接对语句执行了输出的,看看源码: 4.说是有waf,而且之前插入抓包的时候也发现了/calc.php?num= 5.= =可我真没想到,不加参数的话会直接显示源码的,做题和实战有偏差= = 这里就是设置了黑名单,然后代码执行。看到这儿就想到了一句话,但是 “ ...
BUUCTF-WEB
ccfly1012的博客
11-02 3894
目录 [HCTF 2018]WarmUp [极客大挑战 2019]EasySQL 总结万能密码 [极客大挑战 2019]Havefun [强网杯 2019]随便注 [ACTF2020 新生赛]Include [SUCTF 2019]EasySQL [极客大挑战 2019]Secret File [ACTF2020 新生赛]Exec [极客大挑战 2019]LoveSQL [GXYCTF2019]Ping Ping Ping [HCTF 2018]WarmUp 打开网页,查看一下源代
BUUCTF Web1
ookami6497的博客
12-11 920
BUUCTF-WEB刷题记录-1
weixin_44145820的博客
04-06 923
目录[HCTF 2018]WarmUp[强网杯 2019]随便注[护网杯 2018]easy_tornado[SUCTF 2019]EasySQL[HCTF 2018]admin[RoarCTF 2019]Easy Calc[极客大挑战 2019]EasySQL[强网杯 2019]高明的黑客[极客大挑战 2019]Havefun[SUCTF 2019]CheckIn[CISCN2019 华北赛区 ...
WEB-buuctf-calc
weixin_52804141的博客
01-04 237
提供num参数,但是因为waf的才能在会对num参数进行限制不能出现字母,并且在php中对一些符号进行了过滤。具体原因(WAF不允许num变量传递字母,可以在num前加个空格,这样WAF就找不到num这个变量了,因为现在的变量叫" num",而不是"num"。但php在解析的时候,会先把空格给去掉,这样我们的代码还能正常运行,还上传了非法字符。和num中加一个空格这样"num"就变成了“ num”waf就无法找到num参数,而php解析时又会对空格去掉,所以可以利用该漏洞传递一个非法函数。
BUUCTF-web类-第六题 [RoarCTF 2019]Easy Calc
weixin_44622228的博客
04-17 417
BUUCTF-web类-第六题 [RoarCTF 2019]Easy Calc 进入靶场,发现只有一个计算器的页面, 输入1+2看看,返回了答案3 常规想法,输入单引号试试,弹出了一个窗口 经过多个字符测试,发现都会导致弹窗,这时候我们看看F12看看, 有一段注释说这题有WAF,那肯定思路就是如何绕过WAF拿到flag了 注释下还有一段js代码,通过代码可以发现还有个calc.php页面,于是...
BugkuCTF-WEB题eval
am_03的博客
08-25 1325
基础知识: var_dump() 函数用于输出变量的相关信息。 var_dump() 函数显示关于一个或多个表达式的结构信息,包括表达式的类型与值。数组将递归展开值,通过缩进显示其结构。 此题考察php相关 include是将flag.php文件包含进页面代码 $request可用于接受get和post的传递的参数 eval函数可以把字符串作为php命令执行 知道这些你就可以用get方法传递hello变量,并在hello其内写入查看flag.php的命令了 ?hello=file(‘flag.php’)
BUUCTF WEB EasyCalc
qq_41696858的博客
08-22 210
这题考的是waf的绕过,打开页面,发现是一个命令执行的页面,查看源码,发现通过js发了一个ajax请求 有注释,在中间加了waf 这题的主要的点也就在这里,有两者绕过姿势,1.在num之前加一个空格,这样在waf程序里匹配到的就是空格+num参数,而不是num参数,就可以绕过waf,把请求传到后端 服务器calc.php页面,盲猜waf是先get了num参数,才去做过滤等一系列参数的 那么请求到了calc.php页面进行了二次过滤 <?php error_reporting(0); if(!isset
CTF Web复现』[2021 天翼杯]easy_eval
Ho1aAs‘s Blog
09-23 1193
文章目录利用点源码过程分析反序列化绕过wakeupRedis加载恶意so获取shell完 利用点 反序列化绕过wakeup Redis加载恶意so获取shell 源码 <?php class A{ public $code = ""; function __call($method,$args){ eval($this->code); } function __wakeup(){ $this->code
CTF--BUUCTF-WEB-EasySQL+Easy Calc
qq_42404383的博客
01-13 1462
CTFBUUCTF-WEB-EasySQL+Easy Calc 一、[极客大挑战 2019]EasySQL ​ 题目如图: 简单的注入一下: 把密码长度加长一些试试: 二、Easy Calc–简单的计算器 题目: 分析: 提示有WAF、拿节点content的值去后台运算 解题: 上面行不通、要从WAF着手了(我是不会了) 换个思路、题目还是得做–>> 搜达寺内、...
BUUCTF学习笔记-Easy_Clac
weixin_42271850的博客
03-22 694
BUUCTF学习笔记-Easy_Clac 时间:2020/03/22 考点:WAF绕过、文件读取         打开是一个计算器,只要输入表达式就可以返回对应的结果。右键查看源代码,可以看到提示<!--I've set up WAF to ensure security.-->,提示我们这个网站...
题目讲解3
最新发布
aetlypdlg_ys的博客
05-18 517
id等于这玩意儿是因为$_SESSION['tokennum']没有什么东西,就直接让id=md5($_SESSION['tokennum'])就行,d41d8cd98f00b204e9800998ecf8427e这一串就是$_SESSION['tokennum']的md5加密。potin1k就是绕过addslashes,构造查看ae86qfC.php的内容。1{${highlight_file( 中的1是为了满足 if (intval,只要是数字开头的字符串就会返回数字,如果是纯字符串返回0。
BUUCTF [CISCN2019 总决赛 Day2 Web1] Easyweb
Senimo
12-09 2373
BUUCTF [CISCN2019 总决赛 Day2 Web1] Easyweb 考点: 启动靶机: 一个登陆页面,查看源码: <div class="clear"> </div> <div class="avtar"><img src="image.php?id=2" width="200" height="200"/></div> <form method="post" action="user.php"> 发现其存在ima
[roarctf 2019]easy calc
03-16
这道题是一道简单的逆向工程题目,给出了一个计算器程序和加密后的标志,需要我们破解加密算法并计算出正确的标志。 我们可以使用反编译工具对程序进行反编译,然后找到加密算法的相关代码。在这个程序中,加密算法使用了一种简单的替换算法,它会将输入字符串中的每个字符替换成固定的字符。 我们只需要编写一个解密程序,使用相同的替换表将加密后的标志还原成原始标志。一旦还原了标志,我们就可以提交它来获得得分。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值