攻防世界-favorite_number

最新推荐文章于 2022-10-11 17:34:23 发布
最新推荐文章于 2022-10-11 17:34:23 发布
阅读量1.5k 收藏 1
点赞数 1
分类专栏: #ctf 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44065556/article/details/120544793
版权

老样子进入环境,一段代码刷刷下来,闯进脑子里

 这里就需要具备php语言的基础了,还有正则的基础,还不会的小伙伴,赶紧补一补

(注意php5.5.9这个版本)

分析一下代码:

if($stuff === $array && $stuff[0] != 'admin')  //数组判断,强等于,首元素需要不等于 'admin'

if (preg_match("/^\d+$/im",$num))  //只允纯数字, 看到谋面的/m了吧,这是开启了多行匹配,所以呢

^和$不只是字符串匹配开头和结尾,这就是匹配每一行的开头和结尾. 用%a0换行,这样正则匹配就只能匹配到第一行.

if (!preg_match("/sh|wget|nc|python|php|perl|\?|flag|}|cat|echo|\*|\^|\]|\\\\|'|\"|\|/i",$num))

// 这里相当于一个黑名单,不允许有我们常用的可以执行的代码命令,把它们都过滤掉了

主要的代码部分都清楚了,步骤就绕过这三个if 执行里面的system

 

这第一给if就给我难住了,想了很久,要不然就是溢出,要不就是php5.5.9这个版本有什么漏洞,不然怎么构造payload 我也绕不过去,去逛了一圈,看到了一些资料,php5.5.26这版本有个整数溢出漏洞

小伙伴可以自己看一看: https://bugs.php.net/bug.php?id=69892

漏洞就是说数组中键值为0的元素与4294967296 //0x100000000 (0x开头表示16进制,换算过来就是4294967296)的元素是一样的

所以我们构造payload先绕过第一个if:

stuff[4294967296]=admin&stuff[1]=user&num=666

 第一个if绕过

第二个if后面加%0a加ls /查看根目录

看到flag字样了,cat /flag猫一眼

 好家伙,被过滤掉了,那么就要想想别的办法看了

https://blog.csdn.net/weixin_42373789/article/details/113451481可以参考参考绕过姿势,加上自己奇思妙想

stuff%5B4294967296%5D=admin&stuff%5B1%5D=user&num=666%0a ca``t  /fl``ag

 成功拿到flag,打完收工!

 

皮皮逗逗逗
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界 supersqli writeup
12-14
进入题目查看源码,提到sqlmap那就扫一扫 发现有注入,注入点为injiect=2’,接下来–dbs尝试查询数据库,只爆出supersqli,但无法爆出表。 回到题目 order by 判断只有两个字段(别人的writerup说–+被过滤,只能...
攻防世界WEB练习-favorite_number
墨鱼菜鸡
09-10 143
目录 题目场景 代码审计及绕过 通过php5.5版本的数组key溢出漏洞进行数组绕过 换行符绕过正则跨行匹配 黑名单绕过 题目场景 <?php //php5.5.9 $stuff=$_POST["stuff"]; $array=['admin','user']; if($stuff===$array&&amp...
攻防世界-favorite_number-(详细操作)做题笔记
qq_43715020的博客
06-21 1029
攻防世界-favorite_number-(详细操作)做题笔记
CTF笔记 攻防世界 favorite_number
qq_51248658的博客
10-11 436
php整型溢出,linux读取文件,正则绕过 向大佬学习
攻防世界----favorite_number
qq_44418229的博客
07-20 516
攻防世界----favorite_number 知识点1 php5.5.9版本数字溢出漏洞 知识点2 代码执行的绕过技巧
攻防世界 Web高手进阶区 favorite_number
feng的博客
12-21 851
知识点 PHP的数组key溢出。 PHP的preg_match的/m绕过。 命令执行绕过。 WP 昨天偶然翻自己的收藏夹,突然翻到了攻防世界,差点忘了攻防世界的web还没刷完。。就回来稍微看了个题目,还是挺有意思的,不过我也没能完全独立做出来,前两个点都遇到了问题,反而是最后的命令执行做的比较轻松。 首先进入环境,审一下代码: <?php //php5.5.9 $stuff = $_POST["stuff"]; $array = ['admin', 'user']; if($stuff === $
攻防世界Training-Stegano-1
10-31
攻防世界Training-Stegano-1,misc。 此题详细解题博客:https://blog.csdn.net/m0_59188912/article/details/127614642
攻防世界杂项m0-01
11-13
攻防世界杂项m0_01,misc。 此题详细解题博客:https://blog.csdn.net/m0_59188912/article/details/127836871
攻防世界miss-01,杂项misc太湖杯
11-01
攻防世界miss_01,杂项misc太湖杯。 此题详细解题博客:https://blog.csdn.net/m0_59188912/article/details/127630023
hyenae-0.36-1_fe_0.1-1-win32.exe
04-17
只是一款基于TCP/IP协议的一款网络IP嗅探·与试压测试软件,可以用于网站压力测试也可以用来网络攻防测试,检测网站的dos承受力。
攻防世界-favorite number
xixihahawuwu的博客
11-23 1589
一道web题 题目并没有给我们有用的提示信息 进入环境 这个应该是网页的源码 开始代码审计 我们可以很明显的看到一个麻烦的东西 if($stuff === $array && $stuff[0] != ‘admin’) { 这里即要求一个强等于,还要求首元素要不一样 然后是一个正则,还有一个黑名单 第一个应该要从php5.5.9自身的漏洞入手,去查查资料 问题出在php中key数组的溢出 https://segmentfault.com/q/1010000003871264 这个链接是
CTF攻防世界 favorite_number
weixin_68652890的博客
04-01 2563
1.首先接收一个数组stuff强等于array且stuff[0]不等于admin 2.正则表达多行匹配数字 3.过滤一些关键字 \d匹配数字 +一次或多次匹配 /i 表示匹配的时候不区分大小写 /m 表示多行匹配 所以就是多行匹配只能匹配到数字 (!preg_match("/sh|wget|nc|python|php|perl|?|flag|}|cat|echo|*|^|]|\\|’|"||/i",$num)) 过滤 PHP数组key溢出,简单的说就是stuff[4294967296]表示的值,与s.
攻防世界favorite_number
qq_43774856的博客
12-05 840
favorite_number 打开链接得到源码 <?php //php5.5.9 $stuff = $_POST["stuff"]; $array = ['admin', 'user']; if($stuff === $array && $stuff[0] != 'admin') { $num= $_POST["num"]; if (preg_match("/^\d+$/im",$num)){ if (!preg_match("/sh|wget|nc
攻防世界 favorite_number web题 详解
xmj818719的博客
03-31 3844
首先进入页面 进入代码审计 首先数组强等于 又要满足第一个元素不等 其次正则,首先^\d+& 要求num完全为数字 i : ignore 执行大小写不敏感的匹配 m:multiple 多行模式 跨行检测 最后是常用命令的黑名单 首先准备第一个绕过 给了PHP版本5.5.9 存在key整数溢出漏洞当key=4294967296(2^32)可绕过检测 第一个条件的payload : stuff[4294967296]=admin&stuff[1]=user&a...
攻防世界【favorite_number】解题方法
weixin_43923736的博客
06-21 962
攻防世界【favorite_number】解题方法
攻防世界 web高手进阶区 9分题 favorite_number
闵行小鱼塘
10-29 4210
继续ctf的旅程,开始攻防世界web高手进阶区的9分题,本文是favorite_number的writeup
日常练习之web(攻防世界favorite_number)
doraemon12345的博客
12-01 246
打开题目php代码映入眼帘,看到有提示版本,应该是版本漏洞 是个判断数组强等于,又要首元素不等,然后正则要求整个字符串都是数字 搜寻php5.5.9版本漏洞,有关php数组key溢出,看了大佬们的解释,有点明白,又有点不明白先放payload stuff[4294967296]=admin&stuff[1]=user&num=123 按照询问大佬的解释和网上查阅的资料,我的理解是计算机操作系统是32位的,那它最多的就是[2^31],这里的[4294967296=2 ^32 ]所以就会存在
攻防世界:favorite_number
qq_46230755的博客
01-19 821
<?php //php5.5.9 $stuff = $_POST["stuff"]; $array = ['admin', 'user']; if($stuff === $array && $stuff[0] != 'admin') { $num= $_POST["num"]; if (preg_match("/^\d+$/im",$num)){ if (!preg_match("/sh|wget|nc|python|php|perl|\?|flag|.
[攻防世界]favorite_number
snowlyzz的博客
05-07 340
<?php // php5.5.9 // 传参方式是post $stuff = $_POST["stuff"]; // 白名单 $array = ['admin', 'user']; // 既要数组强等于,又要首元素元素不等于 // 即要$stuff === ['admin', 'user'] 又要 $stuff[0]!='admin' if($stuff === $array && $stuff[0] != 'admin') { // 取得另一个post参数 $.
攻防世界-get_post
最新发布
08-24
攻防世界中,"get_post" 是一个题目,要求学习如何使用GET和POST请求来传递参数。在这个题目中,首先让我们使用GET方式传递一个名为a,值为1的变量。我们只需要在URL窗口输入"/?a=1"并回车即可。接下来,又让我们...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值