BUUCTF -Web -[RoarCTF 2019]Easy Calc1 writeup

最新推荐文章于 2024-06-02 07:43:40 发布

今天不用学物理吧

最新推荐文章于 2024-06-02 07:43:40 发布

阅读量286

点赞数 1

分类专栏： web 文章标签：经验分享 web 网络安全

本文链接：https://blog.csdn.net/m0_62851980/article/details/124287549

版权

web 专栏收录该内容

10 篇文章 4 订阅

订阅专栏

考点：php字符串解析漏洞，waf防护方式，php函数的应用

打开靶机，发现是个计算机，输入数字不报错，但如果输入字母：

不返回东西了，不过通过f12可以发现一些信息：

从源码可知，

这个网页有waf防护墙，

url网址是clac.php

查看一下calc.php，发现源码：

这里我抓包了，直接在网页传cala.php也能看到源码，分析源码，过滤了很多符号。

WAF防护：

在又拍云的云安全类别中，WAF防护是其中之一的功能，WAF主要防护的是来自对网站源站的动态数据攻击，可防护的攻击类型包括SQL注入、XSS攻击、CSRF攻击、恶意爬虫、扫描器、远程文件包含等攻击。

简单来说waf就是防火墙，用来保护网页信息，它对其中一种恶意注入方式sql注入的防护方式如下:

1、严格限制Web应用的数据库的操作权限，给此用户提供仅仅能够满足其工作的最低权限，从而最大限度的减少注入攻击对数据库的危害。

2、检查输入的数据是否具有所期望的数据格式，严格限制变量的类型，例如使用regexp包进行一些匹配处理，或者使用strconv包对字符串转化成其他基本类型的数据进行判断。

3、对进入数据库的特殊字符（'"\尖括号&*;等）进行转义处理，或编码转换。Go 的text/template包里面的HTMLEscapeString函数可以对字符串进行转义处理。
4、所有的查询语句建议使用数据库提供的参数化查询接口，参数化的语句使用参数而不是将用户输入变量嵌入到SQL语句中，即不要直接拼接SQL语句。例如使用database/sql里面的查询函数Prepare和Query，或者Exec(query string, args ...interface{})。
5、在应用发布之前建议使用专业的SQL注入检测工具进行检测，以及时修补被发现的SQL注入漏洞。网上有很多这方面的开源工具，例如sqlmap、SQLninja等。

我们尝试给num传参的时候发现只能传数字但不能传字母，那flag肯定无法读取，这个时候有没有发现waf运用了2，加黑部分的防护方法，严格把控输入变量的类型，那我们利用php字符串解析漏洞来强行绕过waf的防护规则。

php字符串解析漏洞：

我们知道PHP将查询字符串（在URL或正文中）转换为内部$_GET或的关联数组$_POST。例如：/?foo=bar变成Array([foo] => "bar")。值得注意的是，查询字符串在解析的过程中会将某些字符删除或用下划线代替。例如，/?%20news[id%00=42会转换为Array([news_id] => 42)。如果一个IDS/IPS或WAF中有一条规则是当news_id参数的值是一个非数字的值则拦截，那么我们就可以用以下语句绕过：

/news.php?%20news[id%00=42"+AND+1=0--

上述PHP语句的参数%20news[id%00的值将存储到$_GET["news_id"]中。

HP需要将所有参数转换为有效的变量名，因此在解析查询字符串时，它会做两件事：

1.删除空白符

2.将某些字符转换为下划线（包括空格）

---摘自大佬博客，讲的超级好，我就不班门弄斧辽利用PHP的字符串解析特性Bypass - FreeBuf网络安全行业门户

不过解释一下这里的做法吧，我们直接传num会被waf检测，那就在num前加空格：" num"(这里有空格),这样waf就找不到num这个变量了,现在的变量叫“ num”，而不是“num”,但php在解析的时候会先把空格给去掉，这样源码依然正常运行，还上传了非法字符。

这样就能输入字母了，不过因为之前我们查看源码发现很多符号被过滤，比如我们想利用/来进入根目录，但“/”被过滤了，我们无法正常访问，这个时候，用到php函数的利用：

用到的php函数：
chr（）:

chr() 用一个范围在 range（256）内的（就是0～255）整数作参数，返回一个对应的字符。chr(i)中的i可以是十进制或十六进制的数字，返回值是对应的ASCII码。

var_dump()：

用于输出变量的相关信息。var_dump() 函数显示关于一个或多个表达式的结构信息，包括表达式的类型与值。数组将递归展开值，通过缩进显示其结构。

scandir() 函数：

返回指定目录中的文件和目录的数组。

查看根目录，/对应的ASCII码为47，所以构造：

? num=print_r(scandir(chr(47)))

发现：

列出的flagg就是我们想找的flag,同样的方法(字母改成对应ASCII值)构造/flagg:
? num=print_r(file_get_contents(chr(47).chr(102).chr(49).chr(97).chr(103).chr(103)))

得到flag

拓展：

ASCII码对应值：

今天不用学物理吧

关注

1
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
BUUCTF -Web -[RoarCTF 2019]Easy Calc1 writeup

考点：php字符串解析漏洞，waf防护方式，php函数的应用打开靶机，发现是个计算机，输入数字不报错，但如果输入字母：不返回东西了，不过通过f12可以发现一些信息：从源码可知，这个网页有waf防护墙，url网址是clac.php查看一下calc.php，发现源码：这里我抓包了，直接在网页传cala.php也能看到源码，分析源码，过滤了很多符号。WAF防护：在又拍云的云安全类别中，WAF防护是其中之一的功能，WAF主要防护的是来自对网站源站的动态...
复制链接

扫一扫