攻防世界 favorite_number

最新推荐文章于 2022-10-11 17:34:23 发布
原创 最新推荐文章于 2022-10-11 17:34:23 发布 · 342 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#php

本文详细介绍了如何解决一道PHP代码审计题,涉及到数组溢出漏洞、正则表达式跨行检测的绕过方法以及命令执行的技巧。通过利用PHP5.5.9的数组溢出特性,构造特定payload,成功绕过首元素限制。对于数字检测,使用换行符%0a进行跨行检测的绕过,并通过Burp Suite进行测试。在命令执行部分,提出了两种方法,包括利用inode和将命令输出到文件后再执行,以此获取flag。

在这里插入图片描述
打开后发现是一道php代码审计题
1.首先是个判断,既要数组强等,又要首元素不为admin
2.做了一个正则匹配,要求字符串全为数字,大小写不敏感,跨行检测
3.写了一个黑名单,把常用的都排除了

数组判断

这个第一个绕过就让人头疼
想了想他这提示了php5.5.9,那应该是从php5.5.9这个版本的本身漏洞着手
查了查有数组溢出漏洞
参考:
PHP的信息安全(入侵获取$flag)的题目【Q2】
PHP数组的key溢出问题
看了其他大佬的wp,发现这个php5.5.9版本的数组溢出值为4294967296,当数值溢出的时候就会覆盖0键值(我没有php5.5.9的环境,用5.4测试反正是没过)
然后构造payload

stuff[4294967296]=admin&stuff[1]=user&num=123

在这里插入图片描述
成功绕过了

数字检测

然后是数字检测
查了查
跨行检测可以绕过
用换行符%0a
payload如下:

stuff[4294967296]=admin&stuff[1]=user&num=123%0als

这里发现用hackbar没有用,我们可以用burp来试试。

在这里插入图片描述
hackbar不能成功的原因是浏览器会自动在换行符%0a前面加上回车符%0d,凑成%0d%0a,使绕过失败。

第二个条件
最后是命令执行
查了查

显示有如下的办法
在这里插入图片描述
我们可以用tac
文件则有两个比较好用的方法

方法1

用inode
索引节点
在这里插入图片描述
找的flag的inode
读取flag
payload如下:

stuff[4294967296]=admin&stuff[1]=user&num=123%0atac ` find / -inum 23337141`

反引号的命令,首先将反引号内的命令执行一次,然后再将已经执行过的命令得到的结果再执行一次
在这里插入图片描述

方法2

输出到文件里

然后执行文件
在这里插入图片描述

得到flag

CTF攻防世界 favorite_number
weixin_68652890的博客
04-01 2693
1.首先接收一个数组stuff强等于array且stuff[0]不等于admin 2.正则表达多行匹配数字 3.过滤一些关键字 \d匹配数字 +一次或多次匹配 /i 表示匹配的时候不区分大小写 /m 表示多行匹配 所以就是多行匹配只能匹配到数字 (!preg_match("/sh|wget|nc|python|php|perl|?|flag|}|cat|echo|*|^|]|\\|’|"||/i",$num)) 过滤 PHP数组key溢出,简单的说就是stuff[4294967296]表示的值,与s.
攻防世界 web高手进阶区 9分题 favorite_number
闵行小鱼塘
10-29 4455
继续ctf的旅程,开始攻防世界web高手进阶区的9分题,本文是favorite_number的writeup
[攻防世界]favorite_number
snowlyzz的博客
05-07 459
<?php // php5.5.9 // 传参方式是post $stuff = $_POST["stuff"]; // 白名单 $array = ['admin', 'user']; // 既要数组强等于,又要首元素元素不等于 // 即要$stuff === ['admin', 'user'] 又要 $stuff[0]!='admin' if($stuff === $array && $stuff[0] != 'admin') { // 取得另一个post参数 $.
CTF笔记 攻防世界 favorite_number
qq_51248658的博客
10-11 707
php整型溢出,linux读取文件,正则绕过 向大佬学习
攻防世界favorite_number
qq_43774856的博客
12-05 917
favorite_number 打开链接得到源码 <?php //php5.5.9 $stuff = $_POST["stuff"]; $array = ['admin', 'user']; if($stuff === $array && $stuff[0] != 'admin') { $num= $_POST["num"]; if (preg_match("/^\d+$/im",$num)){ if (!preg_match("/sh|wget|nc
xctf攻防世界 Web高手进阶区 favorite_number
l8947943的博客
12-29 1006
作为一个新手,一路走来,人都麻了,就当积累知识点了! 1. 进入到题目场景,看到代码,因此想到代码审计 2.尝试分析代码 <?php //php5.5.9 $stuff = $_POST["stuff"]; // 接收POST传过的参数,key为"stuff" $array = ['admin', 'user']; if($stuff === $array && $stuff[0] != 'admin') { // stuff的参数要与array恒等,且stuff数组第一个参数不能
攻防世界】二十二 --- favorite_number --- php代码审计
qq_43168364的博客
01-02 1053
题目 — favorite_number 一、writeup 二、知识点
攻防世界-web高手进阶区
zji
04-25 7325
文章目录攻防世界-web高手进阶区一、baby_web二、Training-WWW-Robots1.引入库2.读入数据总结 攻防世界-web高手进阶区 提示:这里是记录web的题目,这里我基本不讲很多细节,请自行下载Burpsuite,web使用的等等工具。 一、baby_web 非常的简单,bp抓包直接把1.php去掉后,就看的flag了。 二、Training-WWW-Robots 非常的简单,点网页进去后,看到了robots.txt进去看到一个可以看到他有一个不允许访问的文件f10g.php,在
攻防世界 web高手进阶区 favorite_number
sinat_31884905的博客
03-07 463
打开后发现是一道php代码审计题 1.首先是个判断,既要数组强等,又要首元素不为admin (PHP5.59的漏洞) 2.做了一个正则匹配,要求字符串全为数字,大小写不敏感,跨行检测 (匹配数字注意到了,如何绕过呢,跨行)) 3.写了一个黑名单,把常用的都排除了 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、php5.5.9这个版本
攻防世界-favorite_number
qq_44065556的博客
09-29 1706
老样子进入环境,一段代码刷刷下来,闯进脑子里 这里就需要具备php语言的基础了,还有正则的基础,还不会的小伙伴,赶紧补一补 (注意php5.5.9这个版本) 分析一下代码: if($stuff === $array && $stuff[0] != 'admin') //数组判断,强等于,首元素需要不等于 'admin' if (preg_match("/^\d+$/im",$num)) //只允纯数字, 看到谋面的/m了吧,这是开启了多行匹配,所以呢 ^和$不只是字...
攻防世界-favorite_number-(详细操作)做题笔记
qq_43715020的博客
06-21 1167
攻防世界-favorite_number-(详细操作)做题笔记
日常练习之web(攻防世界favorite_number
doraemon12345的博客
12-01 314
打开题目php代码映入眼帘,看到有提示版本,应该是版本漏洞 是个判断数组强等于,又要首元素不等,然后正则要求整个字符串都是数字 搜寻php5.5.9版本漏洞,有关php数组key溢出,看了大佬们的解释,有点明白,又有点不明白先放payload stuff[4294967296]=admin&stuff[1]=user&num=123 按照询问大佬的解释和网上查阅的资料,我的理解是计算机操作系统是32位的,那它最多的就是[2^31],这里的[4294967296=2 ^32 ]所以就会存在
E. XOR and Favorite Number(莫队算法)
AC_Arthur的专栏
11-09 854
题目链接:点击打开链接 思路: 莫队算法适用于无修改操作的区间问题。   关键是, 需要能够用O(1)时间从[l, r]转移[l+1, r], [l-1, r], [l, r+1], [l, r-1]。 该题需要观察异或和的特点, 它是满足区间加减的。 区间[l, r]的异或和等于[1, r] - [1, l-1]。   那么我们用莫队算法维护每个点的前缀异或值,  就是可以完美解决这个问题
攻防世界 favorite_number web题 详解
xmj818719的博客
03-31 3973
首先进入页面 进入代码审计 首先数组强等于 又要满足第一个元素不等 其次正则,首先^\d+& 要求num完全为数字 i : ignore 执行大小写不敏感的匹配 m:multiple 多行模式 跨行检测 最后是常用命令的黑名单 首先准备第一个绕过 给了PHP版本5.5.9 存在key整数溢出漏洞当key=4294967296(2^32)可绕过检测 第一个条件的payload : stuff[4294967296]=admin&stuff[1]=user&a...
由XCTF-favorite_number引发的PHP 数组问题与URL编码引出的编码问题
weixin_43821278的博客
03-13 340
PHP数组这个ctf题有很多大佬的WP就不写了讨论PHP数组问题(数字索引数组)题目本地模拟 这个ctf题有很多大佬的WP就不写了 第一个比较是数组的强等于 但是由要求两个数组的第一个元素不等 WP的payload stuff[4294967296]=admin&stuff[1]=user&num=123 讨论PHP数组问题(数字索引数组) 实验环境: WINDOWS10,PHPstudy(Apache2.4.39,php5.5.9nts) 在 PHP 中,有三种数组类型: • 索引数组
攻防世界favorite_number
qq_46230755的博客
01-19 935
<?php //php5.5.9 $stuff = $_POST["stuff"]; $array = ['admin', 'user']; if($stuff === $array && $stuff[0] != 'admin') { $num= $_POST["num"]; if (preg_match("/^\d+$/im",$num)){ if (!preg_match("/sh|wget|nc|python|php|perl|\?|flag|.
攻防世界favorite_number】解题方法
weixin_43923736的博客
06-21 1065
攻防世界favorite_number】解题方法
文件的读写基本操作
热门推荐
范高伦的博客
09-07 1万+
一、文件是计算机中数据持久化存储的表现形式 读写文件标准操作格式1: 1、打开文件:file1 = open('文件名','读写模式') 2、操作文件 3、关闭文件:file1.close() 文件操作完毕后必须关闭,否则长期保持对文件的连接状态,造成内存溢出的现象发生 读写文件操作格式2: # 1、打开文件 file1 = open('demo.txt','w') # 2、操作文件 file1.write('hello world') # 3、关闭文件 file1.close() 1、打开文件:wi
攻防世界wtc_rsa_bbq
最新发布
11-04
由于没有直接关于攻防世界 wtc_rsa_bbq 题目的具体引用内容,下面给出一般性的 RSA 类型题目分析与解答思路。 ### 题目分析 RSA 算法是一种非对称加密算法,其核心基于大整数分解的困难性。在 RSA 加密体系中,有公钥 `(n, e)` 和私钥 `(n, d)`,其中 `n = p * q`(`p` 和 `q` 为大素数),`e` 是公开的加密指数,`d` 是私钥的解密指数,满足 `e * d ≡ 1 (mod φ(n))`,`φ(n)=(p - 1) * (q - 1)`。 对于 wtc_rsa_bbq 题目,通常会给出一些与 RSA 相关的参数,如 `n`、`e`、`ciphertext` 等,可能还会涉及到签名验证等操作。解题的关键在于根据已知信息,尝试找出 `p`、`q` 或者直接计算出 `d`,从而实现解密。 ### 解答思路 1. **分解 `n`**:如果题目给出的 `n` 不是特别大,可以尝试分解 `n` 得到 `p` 和 `q`。可以使用一些工具,如 `factordb` 网站或者编写简单的 Python 脚本进行暴力分解。 ```python import sympy n = 123456789 # 假设这是题目给出的 n p = sympy.nextprime(1) while n % p != 0: p = sympy.nextprime(p) q = n // p print(f"p = {p}, q = {q}") ``` 2. **计算 `φ(n)` 和 `d`**:在得到 `p` 和 `q` 后,计算 `φ(n)=(p - 1) * (q - 1)`,然后使用扩展欧几里得算法计算 `d`,使得 `e * d ≡ 1 (mod φ(n))`。 ```python from Crypto.Util.number import inverse phi_n = (p - 1) * (q - 1) e = 65537 # 通常 e 为 65537 d = inverse(e, phi_n) print(f"d = {d}") ``` 3. **解密 `ciphertext`**:使用私钥 `(n, d)` 对密文进行解密,公式为 `plaintext = ciphertext ** d % n`。 ```python ciphertext = 987654321 # 假设这是题目给出的密文 plaintext = pow(ciphertext, d, n) print(f"plaintext = {plaintext}") ``` ### 签名验证 如果题目涉及签名验证,通常会给出签名 `sig`、消息 `m` 和公钥 `(n, e)`。验证签名的步骤如下: 1. 计算 `s = sig ** e % n`。 2. 比较 `s` 和 `m` 是否相等,如果相等则签名验证通过。 ```python sig = 12345 # 假设这是题目给出的签名 m = 67890 # 假设这是题目给出的消息 s = pow(sig, e, n) if s == m: print("Signature verification passed.") else: print("Signature verification failed.") ```
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值