攻防世界Web:favorite_number

最新推荐文章于 2022-05-07 20:51:30 发布
最新推荐文章于 2022-05-07 20:51:30 发布
阅读量154 收藏
点赞数 1
分类专栏: CTF 文章标签: php perl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Light_inthe_eyes/article/details/120802491
版权

打开页面,发现一串代码,代码审计:

 <?php
//php5.5.9
$stuff = $_POST["stuff"];
$array = ['admin', 'user'];
if($stuff === $array && $stuff[0] != 'admin') {
    $num= $_POST["num"];
    if (preg_match("/^\d+$/im",$num)){
        if (!preg_match("/sh|wget|nc|python|php|perl|\?|flag|}|cat|echo|\*|\^|\]|\\\\|'|\"|\|/i",$num)){
            echo "my favorite num is:";
            system("echo ".$num);
        }else{
            echo 'Bonjour!';
        }
    }
} else {
    highlight_file(__FILE__);
}

解决目的就是读懂代码,然后构造出payload绕过限制:

  1. if($stuff === $array && $stuff[0] != 'admin')stuff[0]不能等于admin,但stuff又是等于array的,代码中的//php5.5.9 提示肯定是有用的,去查阅资料有PHP数组key溢出问题。
  2. preg_match("/^\d+$/im",$num):检测是不是全是数字,
  3. preg_match("/sh|wget|nc|python|php|perl|\?|flag|}|cat|echo|\*|\^|\]|\\\\|'|\"|\|/i",$num):相当于一个黑名单,过滤了一些

接下来构造payload,绕过成功:

stuff[4294967296]=admin&stuff[1]=user&num=123

在这里插入图片描述用跨行%0a去绕过数字检测,构造payload看目录:num=123%0als

在这里插入图片描述num=123&%0als /

在这里插入图片描述发现有flag,但由于这道题过滤了cat等,所以通过innode索引结点去看flag(在Linux中,每个文件都有自己的innode编号的,可以通过innode表去查找目标文件):num=123%0als / -i
在这里插入图片描述
flag的innode为15993546,用tac去查看flag文件,拿到flag:

在这里插入图片描述
(反引号作用就是先执行反引号里面的内容)
在这里插入图片描述
总结:
数组key溢出漏洞
跨行检测绕过
tac、innode使用

dofd
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界WEB练习-favorite_number
墨鱼菜鸡
09-10 148
目录 题目场景 代码审计及绕过 通过php5.5版本的数组key溢出漏洞进行数组绕过 换行符绕过正则跨行匹配 黑名单绕过 题目场景 <?php //php5.5.9 $stuff=$_POST["stuff"]; $array=['admin','user']; if($stuff===$array&&amp...
攻防世界web favorite-number
Zeker62的博客
09-06 162
目录题目剖析漏洞分析注入payload题目剖析 这是一道PHP代码审计题目 <?php //php5.5.9 $stuff = $_POST["stuff"]; $array = ['admin', 'user']; if($stuff === $array && $stuff[0] != 'admin') { $num= $_POST["num"]; if...
日常练习之web攻防世界favorite_number
doraemon12345的博客
12-01 250
打开题目php代码映入眼帘,看到有提示版本,应该是版本漏洞 是个判断数组强等于,又要首元素不等,然后正则要求整个字符串都是数字 搜寻php5.5.9版本漏洞,有关php数组key溢出,看了大佬们的解释,有点明白,又有点不明白先放payload stuff[4294967296]=admin&stuff[1]=user&num=123 按照询问大佬的解释和网上查阅的资料,我的理解是计算机操作系统是32位的,那它最多的就是[2^31],这里的[4294967296=2 ^32 ]所以就会存在
攻防世界 favorite_number web题 详解
xmj818719的博客
03-31 3860
首先进入页面 进入代码审计 首先数组强等于 又要满足第一个元素不等 其次正则,首先^\d+& 要求num完全为数字 i : ignore 执行大小写不敏感的匹配 m:multiple 多行模式 跨行检测 最后是常用命令的黑名单 首先准备第一个绕过 给了PHP版本5.5.9 存在key整数溢出漏洞当key=4294967296(2^32)可绕过检测 第一个条件的payload : stuff[4294967296]=admin&stuff[1]=user&a...
攻防世界 web高手进阶区 favorite_number
sinat_31884905的博客
03-07 285
打开后发现是一道php代码审计题 1.首先是个判断,既要数组强等,又要首元素不为admin (PHP5.59的漏洞) 2.做了一个正则匹配,要求字符串全为数字,大小写不敏感,跨行检测 (匹配数字注意到了,如何绕过呢,跨行)) 3.写了一个黑名单,把常用的都排除了 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、php5.5.9这个版本
黑客攻防技术宝典:Web实战篇(第2版)1
08-03
《黑客攻防技术宝典:Web实战篇(第2版)》是一本专注于Web应用程序安全的实战指南,由Dafydd Stuttard和Marcus Pinto撰写,由石华耀和傅志红翻译。该书深入浅出地探讨了Web应用程序的安全风险和攻防策略,适合网络...
攻防世界 supersqli writeup
12-14
进入题目查看源码,提到sqlmap那就扫一扫 发现有注入,注入点为injiect=2’,接下来–dbs尝试查询数据库,只爆出supersqli,但无法爆出表。 回到题目 order by 判断只有两个字段(别人的writerup说–+被过滤,只能...
攻防世界Wire1杂项
11-20
攻防世界Wire1杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127951997
攻防世界杂项m0-01
11-13
攻防世界杂项m0_01,misc。 此题详细解题博客:https://blog.csdn.net/m0_59188912/article/details/127836871
网络web安全与攻防技术_漏洞分析_网络攻防_网络安全_vulnerability_
09-29
常见网络安全协议工具使用方法,web安全漏洞分析、漏洞案例,web攻防思路分享。
攻防世界 Web高手进阶区 favorite_number
feng的博客
12-21 869
知识点 PHP的数组key溢出。 PHP的preg_match的/m绕过。 命令执行绕过。 WP 昨天偶然翻自己的收藏夹,突然翻到了攻防世界,差点忘了攻防世界web还没刷完。。就回来稍微看了个题目,还是挺有意思的,不过我也没能完全独立做出来,前两个点都遇到了问题,反而是最后的命令执行做的比较轻松。 首先进入环境,审一下代码: <?php //php5.5.9 $stuff = $_POST["stuff"]; $array = ['admin', 'user']; if($stuff === $
攻防世界web高手进阶WP-favorite number
Whaocai的博客
08-01 477
攻防世界web高手进阶WP-favorite number 考点: ①php5.5 key数组溢出 ②%0A绕过preg_match() 打开链接是一道php源码审计问题 解题步骤: ①stuff === $array && $stuff[0] != 'admin’ ②num必须是数字 ③黑名单,禁止了敏感字符* ^ }{ \等和一些敏感函数 第一步让stuff与数组强相等,并且stuff数组的第一个元素与stuff数组的第一个元素与stuff数组的第一个元素与array数组的第一个元素不相
[xctf]favorite_number 命令执行&&数组key溢出漏洞&&绕过pregmatch
qq_37301470的博客
11-22 452
favorite_number 白盒有源码 <?php //php5.5.9 $stuff = $_POST["stuff"]; $array = ['admin', 'user']; if($stuff === $array && $stuff[0] != 'admin') { $num= $_POST["num"]; if (preg_match("/^\d+$/im",$num)){ if (!preg_match("/sh|wget|nc|pyt
buuctf 刷题2(md5(true)参数漏洞&php字符串解析特性&php&dirsearch&php反序列化)
weixin_63231007的博客
05-02 2211
[BJDCTF2020]Easy MD5 1 burp抓包,发现传入的参数的语句为: Hint: select * from 'admin' where password=md5($pass,true) md5函数介绍为: md5( string , raw ) string : 规定需要计算的字符串 raw : 规定十六进制或二进制输出格式。 true:16字符二进制格式 false(默认): 32字符十六进制数 md5 true参数漏洞有 ff...
从一道题看数组的key溢出问题
qq_45951598的博客
12-05 1214
<?php //php5.5.9 $stuff = $_POST["stuff"]; $array = ['admin', 'user']; if($stuff === $array && $stuff[0] != 'admin') { //个判断,既要数组强等于,又要首元素不等 $num= $_POST["num"]; if (preg_match("/^\d+$/im",$num)){ // i不区分大小写 // m使边.
攻防世界 web高手进阶区 9分题 favorite_number
闵行小鱼塘
10-29 4230
继续ctf的旅程,开始攻防世界web高手进阶区的9分题,本文是favorite_number的writeup
攻防世界web高手进阶篇刷题小计记
q1415500189的博客
01-22 2439
攻防世界刷题小记
[攻防世界]favorite_number
snowlyzz的博客
05-07 351
<?php // php5.5.9 // 传参方式是post $stuff = $_POST["stuff"]; // 白名单 $array = ['admin', 'user']; // 既要数组强等于,又要首元素元素不等于 // 即要$stuff === ['admin', 'user'] 又要 $stuff[0]!='admin' if($stuff === $array && $stuff[0] != 'admin') { // 取得另一个post参数 $.
xctf攻防世界 Web高手进阶区 favorite_number
l8947943的博客
12-29 927
作为一个新手,一路走来,人都麻了,就当积累知识点了! 1. 进入到题目场景,看到代码,因此想到代码审计 2.尝试分析代码 <?php //php5.5.9 $stuff = $_POST["stuff"]; // 接收POST传过的参数,key为"stuff" $array = ['admin', 'user']; if($stuff === $array && $stuff[0] != 'admin') { // stuff的参数要与array恒等,且stuff数组第一个参数不能
攻防世界web_python_template_injection
最新发布
03-16
攻防世界中的web_python_template_injection是一种Web应用程序漏洞,它允许攻击者通过注入恶意代码来执行任意操作。这种漏洞通常出现在使用Python模板引擎的Web应用程序中,攻击者可以通过注入Python代码来执行任意...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值