[RoarCTF 2019]Easy Calc1详细多种题解+整体思考路程(必看)

最新推荐文章于 2023-11-30 18:12:19 发布
最新推荐文章于 2023-11-30 18:12:19 发布
阅读量317 收藏
点赞数 1
文章标签: php web安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73728268/article/details/129502839
版权

文章目录

[RoarCTF 2019]Easy Calc1

1.看到这个页面,我直接看代码不犹豫
在这里插入图片描述2.看到源代码里面有提示
I’ve set up WAF to ensure security.
在这里插入图片描述
encodeURLComponent函数

😗*

这个函数使url编码,url中的特殊字符(, / ? : @ & = + $ #)都进行编码,该方法不会对 ASCII
字母和数字进行编码,也不会对这些 ASCII 标点符号进行编码: - _ . ! ~ * ’ ( ) 。

3.我们在这里看见有calc.php,于是我们打开calc.php看看

<?php
error_reporting(0);
if(!isset($_GET['num'])){
    show_source(__FILE__);
}else{
        $str = $_GET['num'];
        $blacklist = [' ', '\t', '\r', '\n','\'', '"', '`', '\[', '\]','\$','\\','\^'];
        foreach ($blacklist as $blackitem) {//这个函数使加强版的for,是将blacklist赋值给blackitem
                if (preg_match('/' . $blackitem . '/m', $str)) {//正则m匹配多行的意思
                        die("what are you want to do?");
                }
        }
        eval('echo '.$str.';');
}
?>

我们看到了源码,我们得想办法绕过执行我们自己的语句,并且通过num传参数发现有回显,我们发现有数字检测。
所以我们得绕过数字检测,或者让数字检测不生效
我们看到开始有一句提示,于是我们开始想办法绕过

I’ve set up WAF to ensure security.

首先我们应该了解php解析字符串时的规则
php在解析字符串时只做两件事

1.删除空白符
2.将某些字符转换为下划线(包括空格)
大佬的文章

于是我们使用这payload试试是否绕过
?+num=phpinfo()
发现成功绕过,在这里我们传入的是%20num而不是num故检测不到是num变量,故其不会触发WAF,成功绕过
在这里插入图片描述4.接下来就要进行自己的语句构造

payload两种方法

法一:
我们要学习一个函数scandir
我们直接上payload:?+num=scandir(chr(47))//这里使用ascii码的原因是’/‘被过滤了
在这里插入图片描述我们要学习两个函数print_rvar_dump两个函数
构造出新的payload:?+num=print_r(scandir(chr(47)))
在这里插入图片描述
5.发现关键信息flagg,于是想办法读取flagg,用函数file-get-content
构造payload
?+num=print_r(file_get_contents(chr(47).chr(102).chr(49).chr(97).chr(103).chr(103)))
在这里插入图片描述flag就出来了
不同的payload
(注:<?='aa';?>等同于<?php echo 'aa';?>。)
在这里插入图片描述

法二(http走私):
关于http走私学习

在这里插入图片描述添加一个content-length
num=1
就不会触发数字检测
这个文章用的http拿的flag

总结:

1.学习了php对于字符串解析字符串
2.对php函数不熟悉
3.第一次见http走私漏洞
4.基本绕过方法不熟悉

Harder.
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
BUUCTF-PWN roarctf_2019_easyheap(double free, stdout重定向)
weixin_44145820的博客
04-23 769
这里写目录标题题目分析漏洞利用Exp 题目分析 有添加,删除,展示三个主要功能,不过添加有次数限制,同时限制了申请大小,使得我们不能申请出unsorted bin范围内的chunk 删除之后没有置空,可以多次free show功能有条件限制,而且会把stdout关了 添加和后门的次数 后门函数可以进行calloc和free,同样没有置空,但是后门函数的次数限制逻辑有问题,即使为0还会再...
[RoarCTF 2019]Easy Calc
xj28555的博客
09-02 350
进入题目是一个计算器的功能界面 查看源代码,可以发现是有WAF的,且存在一个calc.php文件 这里接收一个num参数,可以看到这里创建了一个黑名单列表,然后用正则是去匹配,进行非法参数的过滤。 那这题就是要绕过这个过滤和过一个WAF了。先传入一个?num=1测试一下。 传入字母就会报错,这里应该是被WAF文件给拦截了。 要对这WAF进行绕过,这里就涉及到一个知识点了。 PHP的字符串解析特性 我们知道PHP将查询字符串(在URL或正文中)转换
BUUCTF [RoarCTF 2019]Easy Calc1
lzu_lfl的博客
09-11 1374
BUUCTF [RoarCTF 2019]Easy Calc1 WP
BUUCTF WEB [RoarCTF 2019]Easy Calc
Y1da的博客
04-16 349
BUUCTF WEB [RoarCTF 2019]Easy Calc F12查看页面源代码 <!DOCTYPE html> <html><head><meta http-equiv="Content-Type" content="text/html; charset=UTF-8"> <title>简单的计算器</title> <meta name="viewport" content="width=device
roarctf_2019_easyheap(文件描述符1关闭后仍然可以交互)
seaaseesa的博客
04-17 594
roarctf_2019_easyheap 首先,检查一下程序的保护机制 然后,我们用IDA分析一下 最开始的时候,我们可以在bss段输入一些数据,这意味着,我们可以在bss段伪造一个chunk show功能必须要满足条件才能使用 Free后没有清空指针,因此存在double free。 666功能也可以创建和free堆,但是有次数限制,但是这个次数限制也存在漏洞,即q...
roarctf_2019_easyheap
z1r0的博客
04-10 404
roarctf_2019_easyheap 查看保护 有一个大uaf,show的条件是bss上的一个数据应该 为0xdead… 在666中可以进行删除和创建,这里有一个bug,602010这个数据变成0之后–就是成负数可以无限次使用了 攻击思路:因为有uaf和666这个功能,所以我们构造fastbin attack 形成double free,其实fastbin attack使用的是fastbin_dup_consolidate这个手法。构造出double free之后将堆申请到name_addr这里
[RoarCTF 2019]Easy Java1
最新发布
zzqzzq11的博客
11-30 371
这个web.xml是⼀个典型的配置⽂件,也就是代表了哪个url去对应哪个java的class⽂件去处理。这⾥有⼀个download的请求。利⽤post请求可以获取。随后可以看到下⾯对应的class⽂件。这题考查的是java后端框架结构。
[RoarCTF 2019]Easy Calc 1
徐海洋
02-06 119
[RoarCTF 2019]Easy Calc 1
BUUCTF学习笔记-Easy_Clac
weixin_42271850的博客
03-22 657
BUUCTF学习笔记-Easy_Clac 时间:2020/03/22 考点:WAF绕过、文件读取         打开是一个计算器,只要输入表达式就可以返回对应的结果。右键查看源代码,可以看到提示<!--I've set up WAF to ensure security.-->,提示我们这个网站...
[RoarCTF 2019]Easy Calc1
weixin_61021815的博客
05-22 388
进入页面发现是一个计算器 猜测为sql注入(后来一想太过幼稚,他又不和数据库交互) 正在上传…重新上传取消 尝试了一下发现大多数字符都被过滤了 通过看被人的wp,发现可以通过抓包,发现了calc.php 访问一下 <?php error_reporting(0); if(!isset($_GET['num'])){ show_source(__FILE__); }else{ $str=$_GET['num']; $blacklist=['...
BUUCTF RoarCTF 2019]Easy Calc 1
weixin_45642610的博客
01-12 2574
BUUCTF RoarCTF 2019]Easy Calc 1-刷题个人日记 小白一个,写给自己看。 进去后是这样: 随便输入几个运算,就是一个普通的计算器。尝试sql注入,输入1'和1'#: 好8,计算器怎么会连接数据库呢,想太多了。(不过实战也是能想到的方法都试试) ctrl+u看网页代码,发现了一个网页:calc.php 进去看看: 所以之前的网页只是障眼法。这才是我们要目标。 构造payload /calc.php? num=2;var_dump(scandir(chr(47))) 找到f1
自己做web题的文章整合(后续应该还会在更)
BvxiE的博客
08-14 387
首先了解一下题目Easy Calc的意思:嗯…没啥用!
buuctf Easy Calc 笔记记录
SopRomeo的博客
01-29 724
查看源代码,发现有个防火墙 里面有个php文件,进去看看 emmmmm,过滤了一堆字符,这边学到了php的东西,当个web狗啥都要学啊 PHP需要将所有参数转换为有效的变量名,因此在解析查询字符串时,它会做两件事: 1.删除空白符 2.将某些字符转换为下划线(包括空格) ...
CTF学习笔记——Easy Calc
Obs_cure的博客
09-06 1279
一、[RoarCTF 2019]Easy Calc 1.题目 2.解题步骤 发现框框…应该是注入题…源码中提示有个waf,继续看源码,发现有个calc.php,进去看看 初步理解应该是用num传参,然后返回计算结果,这个php文件用于过滤非法字符。 被拦下来了,大概是利用num构造一个payload,不能含有字母和非法字符,只能有数字和符号 这里已经不会了,看writeup吧… 3.总结 4.参考资料 [RoarCTF 2019]Easy Calc(http走私 && 利用PHP

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值