攻防世界 favorite_number

最新推荐文章于 2022-10-11 17:34:23 发布
最新推荐文章于 2022-10-11 17:34:23 发布
阅读量326 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: web 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/zgwz123456/article/details/113931908
本文详细介绍了如何解决一道PHP代码审计题,涉及到数组溢出漏洞、正则表达式跨行检测的绕过方法以及命令执行的技巧。通过利用PHP5.5.9的数组溢出特性,构造特定payload,成功绕过首元素限制。对于数字检测,使用换行符%0a进行跨行检测的绕过,并通过Burp Suite进行测试。在命令执行部分,提出了两种方法,包括利用inode和将命令输出到文件后再执行,以此获取flag。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在这里插入图片描述
打开后发现是一道php代码审计题
1.首先是个判断,既要数组强等,又要首元素不为admin
2.做了一个正则匹配,要求字符串全为数字,大小写不敏感,跨行检测
3.写了一个黑名单,把常用的都排除了

数组判断

这个第一个绕过就让人头疼
想了想他这提示了php5.5.9,那应该是从php5.5.9这个版本的本身漏洞着手
查了查有数组溢出漏洞
参考:
PHP的信息安全(入侵获取$flag)的题目【Q2】
PHP数组的key溢出问题
看了其他大佬的wp,发现这个php5.5.9版本的数组溢出值为4294967296,当数值溢出的时候就会覆盖0键值(我没有php5.5.9的环境,用5.4测试反正是没过)
然后构造payload

stuff[4294967296]=admin&stuff[1]=user&num=123

在这里插入图片描述
成功绕过了

数字检测

然后是数字检测
查了查
跨行检测可以绕过
用换行符%0a
payload如下:

stuff[4294967296]=admin&stuff[1]=user&num=123%0als

这里发现用hackbar没有用,我们可以用burp来试试。

在这里插入图片描述
hackbar不能成功的原因是浏览器会自动在换行符%0a前面加上回车符%0d,凑成%0d%0a,使绕过失败。

第二个条件
最后是命令执行
查了查

显示有如下的办法
在这里插入图片描述
我们可以用tac
文件则有两个比较好用的方法

方法1

用inode
索引节点
在这里插入图片描述
找的flag的inode
读取flag
payload如下:

stuff[4294967296]=admin&stuff[1]=user&num=123%0atac ` find / -inum 23337141`

反引号的命令,首先将反引号内的命令执行一次,然后再将已经执行过的命令得到的结果再执行一次
在这里插入图片描述

方法2

输出到文件里

然后执行文件
在这里插入图片描述

得到flag

CTF攻防世界 favorite_number
weixin_68652890的博客
04-01 2664
1.首先接收一个数组stuff强等于array且stuff[0]不等于admin 2.正则表达多行匹配数字 3.过滤一些关键字 \d匹配数字 +一次或多次匹配 /i 表示匹配的时候不区分大小写 /m 表示多行匹配 所以就是多行匹配只能匹配到数字 (!preg_match("/sh|wget|nc|python|php|perl|?|flag|}|cat|echo|*|^|]|\\|’|"||/i",$num)) 过滤 PHP数组key溢出,简单的说就是stuff[4294967296]表示的值,与s.
攻防世界 web高手进阶区 9分题 favorite_number
闵行小鱼塘
10-29 4328
继续ctf的旅程,开始攻防世界web高手进阶区的9分题,本文是favorite_number的writeup
[攻防世界]favorite_number
snowlyzz的博客
05-07 435
<?php // php5.5.9 // 传参方式是post $stuff = $_POST["stuff"]; // 白名单 $array = ['admin', 'user']; // 既要数组强等于,又要首元素元素不等于 // 即要$stuff === ['admin', 'user'] 又要 $stuff[0]!='admin' if($stuff === $array && $stuff[0] != 'admin') { // 取得另一个post参数 $.
CTF笔记 攻防世界 favorite_number
qq_51248658的博客
10-11 679
php整型溢出,linux读取文件,正则绕过 向大佬学习
攻防世界favorite_number
qq_43774856的博客
12-05 898
favorite_number 打开链接得到源码 <?php //php5.5.9 $stuff = $_POST["stuff"]; $array = ['admin', 'user']; if($stuff === $array && $stuff[0] != 'admin') { $num= $_POST["num"]; if (preg_match("/^\d+$/im",$num)){ if (!preg_match("/sh|wget|nc
攻防世界】二十二 --- favorite_number --- php代码审计
qq_43168364的博客
01-02 1038
题目 — favorite_number 一、writeup 二、知识点
攻防世界Web赛题记录
Bit0
10-13 2766
Cat 题目:https://adworld.xctf.org.cn/task/answer?type=web&number=3&grade=1&id=4658&page=2 Writeup: 攻防世界-web-Cat(XCTF 4th-WHCTF-2017)_Sea_Sand息禅-优快云博客 攻防世界 | CAT - laolao - 博客园 [CTF题目总结-web篇]攻防世界:Cat_T2hunz1-优快云博客 知识点: 1.输入字符 get传递在网址
攻防世界 web篇(二)
weixin_51387754的博客
09-09 568
夺得Flag”,也可意译为“夺旗赛”。其大致流程是,参赛团队之间通过进行攻防对抗、程序分析等形式,率先从主办方给出的比赛环境中得到一串具有一定格式的字符串或其他内容,并将其提交给主办方,从而夺得分数。为了方便称呼,我们把这样的内容称之为“Flag”。
攻防世界 web高手进阶区 favorite_number
sinat_31884905的博客
03-07 409
打开后发现是一道php代码审计题 1.首先是个判断,既要数组强等,又要首元素不为admin (PHP5.59的漏洞) 2.做了一个正则匹配,要求字符串全为数字,大小写不敏感,跨行检测 (匹配数字注意到了,如何绕过呢,跨行)) 3.写了一个黑名单,把常用的都排除了 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、php5.5.9这个版本
攻防世界-favorite_number
qq_44065556的博客
09-29 1684
老样子进入环境,一段代码刷刷下来,闯进脑子里 这里就需要具备php语言的基础了,还有正则的基础,还不会的小伙伴,赶紧补一补 (注意php5.5.9这个版本) 分析一下代码: if($stuff === $array && $stuff[0] != 'admin') //数组判断,强等于,首元素需要不等于 'admin' if (preg_match("/^\d+$/im",$num)) //只允纯数字, 看到谋面的/m了吧,这是开启了多行匹配,所以呢 ^和$不只是字...
攻防世界-favorite_number-(详细操作)做题笔记
qq_43715020的博客
06-21 1118
攻防世界-favorite_number-(详细操作)做题笔记
日常练习之web(攻防世界favorite_number
doraemon12345的博客
12-01 294
打开题目php代码映入眼帘,看到有提示版本,应该是版本漏洞 是个判断数组强等于,又要首元素不等,然后正则要求整个字符串都是数字 搜寻php5.5.9版本漏洞,有关php数组key溢出,看了大佬们的解释,有点明白,又有点不明白先放payload stuff[4294967296]=admin&stuff[1]=user&num=123 按照询问大佬的解释和网上查阅的资料,我的理解是计算机操作系统是32位的,那它最多的就是[2^31],这里的[4294967296=2 ^32 ]所以就会存在
E. XOR and Favorite Number(莫队算法)
AC_Arthur的专栏
11-09 837
题目链接:点击打开链接 思路: 莫队算法适用于无修改操作的区间问题。   关键是, 需要能够用O(1)时间从[l, r]转移[l+1, r], [l-1, r], [l, r+1], [l, r-1]。 该题需要观察异或和的特点, 它是满足区间加减的。 区间[l, r]的异或和等于[1, r] - [1, l-1]。   那么我们用莫队算法维护每个点的前缀异或值,  就是可以完美解决这个问题
攻防世界 favorite_number web题 详解
xmj818719的博客
03-31 3944
首先进入页面 进入代码审计 首先数组强等于 又要满足第一个元素不等 其次正则,首先^\d+& 要求num完全为数字 i : ignore 执行大小写不敏感的匹配 m:multiple 多行模式 跨行检测 最后是常用命令的黑名单 首先准备第一个绕过 给了PHP版本5.5.9 存在key整数溢出漏洞当key=4294967296(2^32)可绕过检测 第一个条件的payload : stuff[4294967296]=admin&stuff[1]=user&a...
由XCTF-favorite_number引发的PHP 数组问题与URL编码引出的编码问题
weixin_43821278的博客
03-13 314
PHP数组这个ctf题有很多大佬的WP就不写了讨论PHP数组问题(数字索引数组)题目本地模拟 这个ctf题有很多大佬的WP就不写了 第一个比较是数组的强等于 但是由要求两个数组的第一个元素不等 WP的payload stuff[4294967296]=admin&stuff[1]=user&num=123 讨论PHP数组问题(数字索引数组) 实验环境: WINDOWS10,PHPstudy(Apache2.4.39,php5.5.9nts) 在 PHP 中,有三种数组类型: • 索引数组
攻防世界favorite_number
qq_46230755的博客
01-19 917
<?php //php5.5.9 $stuff = $_POST["stuff"]; $array = ['admin', 'user']; if($stuff === $array && $stuff[0] != 'admin') { $num= $_POST["num"]; if (preg_match("/^\d+$/im",$num)){ if (!preg_match("/sh|wget|nc|python|php|perl|\?|flag|.
攻防世界favorite_number】解题方法
weixin_43923736的博客
06-21 1039
攻防世界favorite_number】解题方法
xctf攻防世界 Web高手进阶区 favorite_number
l8947943的博客
12-29 967
作为一个新手,一路走来,人都麻了,就当积累知识点了! 1. 进入到题目场景,看到代码,因此想到代码审计 2.尝试分析代码 <?php //php5.5.9 $stuff = $_POST["stuff"]; // 接收POST传过的参数,key为"stuff" $array = ['admin', 'user']; if($stuff === $array && $stuff[0] != 'admin') { // stuff的参数要与array恒等,且stuff数组第一个参数不能
攻防世界easy_maze
最新发布
03-24
### 关于攻防世界 Easy_Maze 的解题思路 #### 题目背景 Easy_maze 是一款基于字符串输入的简单迷宫游戏,玩家通过键盘输入特定字符序列完成迷宫路径规划并最终获得 flag。这类题目通常涉及基础的逆向分析以及简单的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值