醒目的注释,php5.5.9
于是去查了一下漏洞,没想到wp直接搜出来了,也是没忍住看完了。。。。
一、整型溢出
在开始让我们POST传参,一个===
强类型比较,需要类型和值相等,但是呢第一个值又不能是admin
。这里看大佬payload的时候一脸懵,为什么要传两个stuff???后来想了想才明白,这里传参相当于给参数stuff赋值的一个过程,所以要两个。
现在来看整型溢出。
官方解释后面用计算器终于理解了,该版本整数在16进制下是8位数,如果他变成9位,他就溢出了,我理解为直接回到0
这个数字是16的8次方,他的16进制正好超了8位,他就能绕过第一个强类型比较.
stuff[4294967296]=admin&stuff[1]=user&num=123
我还试了一下4294967297
,不行,貌似并不是16进制超过9位就全部能变成0
二、绕正则
if (preg_match("/^\d+$/im",$num)){
if (!preg_match("/sh|wget|nc|python|php|perl|\?|flag|}|cat|echo|\*|\^|\]|\\\\|'|\"|\|/i",$num)){
echo "my favorite num is:";
system("echo ".$num);
}else{
echo 'Bonjour!';
}
}
这段正则中第一个:需要是以字符串开头,以字符串结尾,并且内容是数字,不区分大小写,多行匹配。查了一下,^$
这种匹配模式能换行绕过%0a
也就是说,他匹配到了他想要的数字(\d
)之后,遇到换行符就直接过了。
这里需要注意,换行符需要自己将换行符url编码,除非在抓包之后修改,不然直接输入%0A的话,会变成下图的样子
第二个正则,这里把我们常用的cat
、flag
给ban了,所以需要另找办法。
这里ls
一下。
只有一个index。
试着去找flag在哪里,用find / -name f*ag
没注意到上面好像也把*
ban了。。
索引节点
我完全蒙了,看wp了。。。。
攻防世界 web高手进阶区 9分题 favorite_number
显示文件内容tac方法不错,但是需要找到索引节点
用ls -i /
列出所有文件的节点
最后用索引节点查看文件
stuff%5B4294967296%5D=admin&stuff%5B1%5D=user&num=123%0Atac `find / -inum 18497049`
不知道什么问题,一直超时,就没拿到flag,不过看大佬的wp,payload就是上面这句
索引节点可能会有不同,记得修改。
忽然看到另一个大佬的思路
攻防世界-favorite_number
用两个反引号绕过正则
这里大佬ls /
直接看了根目录,flag就在里面,所以就直接·cat /flag
了
ca``t /fla``g
拿到flag
新姿势get
总结
还是有太多不会了,web进阶真难。。。。