攻防世界web高手进阶WP-favorite number
考点:
①php5.5 key数组溢出
②%0A绕过preg_match()
打开链接是一道php源码审计问题
解题步骤:
①stuff === $array && $stuff[0] != 'admin’
②num必须是数字
③黑名单,禁止了敏感字符* ^ }{ \等和一些敏感函数
第一步让stuff与数组强相等,并且
s
t
u
f
f
数
组
的
第
一
个
元
素
与
stuff数组的第一个元素与
stuff数组的第一个元素与array数组的第一个元素不相等。
这里用到了key数组溢出漏洞来绕过
参考:php5.5 key数组溢出问题
payload:stuff[4294967296]=admin&stuff[1]=user绕过第一个
第二步,看到system()函数,就想到命令执行,常用的system(‘ls /’),但num必须是数字,不能出现字符,如何执行我们的命令呢?
正则匹配中^表示开头, $表示结尾,\d表示数字字符,+表示前面匹配的对象最少出现一次,/im表示匹配多行并且不区分大小写。
我们可以使用%0A来绕过,%0A表示换行,绕过原理是:preg_match()函数默认只匹配第一行,如果匹配完成(返回0或者1)就返回,所以将我们想要执行的命令放到第二行中
payload:num=123%0als
原理:
![在这里插入图片描述](https://www.icode9.com/i/ll/?i=faa9625ddc5345ccb0cc6917ffb162e5.png?x-oss-process=image /watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L1doYW9jYWk=,size_16,color_FFFFFF,t_70#pic_center)
preg_match("/sh|wget|nc|python|php|perl|?|flag|}|cat|echo|*|^|]|\\|’|"||/i",$num)
黑名单中没有过滤掉,可以 ls \查看根目录下的文件,发现flag文件
![在这里插入图片描述](https://www.icode9.com/i/ll/?i=24814f19d84941f6a32e348e0fc8758c.png?,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L1doYW9jYWk=,size_16,color_FFFFFF,t_70#pic_center
之后就是查看flag中的内容了,我有三种思路:
第一种思路:用通配符绕过关键字,禁用了cat和flag关键字,所以cat /flag是用不了了,这时想到通配符*,但是题目中也过滤掉了*,? [ ^ 这四个字符在linux命令中都有统配符的作用,所以这个思路行不通,那么该如何定位到flag文件呢?看下面这种思路
?表示匹配任意单个字符
*表示匹配任意长度字符
[]匹配指定范围内的字符
[^]匹配指定范围外的总府
第二种思路:ls -i命令,显示文件的节点号,思路就是通过文件的节点号对文件进行操作
payload: num=213%0als -i /
读取flag内容
payload:num=123%0atac find / -inum 2766254
查看根目录下节点号为2766254的文件
因为过滤了cat,linux中还可以读取文件内容的命令有:less,more,head,tail,nl,od,tac
第三种思路:flag文件名重定向到文件中然后使用命令读取
payload:num=123%0aprintf /fla > /tmp/hello %26%26 printf g >> /tmp/hello %26%26 tac `tac /tmp/hello`
linux中>表示写入到一个文件中,如果该文件不存在则新建
>>表示追加内容到文件中,如果不存在则创建
printf /fla > /tmp/hello将字符/fla写入/tmp下的hello文件中,printf g >> /tmp/hello将字符g追加到/tmp下的hello文件中,所以就在hello文件中完成了字符的拼接。hello文件的内容是/flag。
linux中反引号作用是,先执行反引号中的命令,将返回结果赋值给一个变量。
`tac /tmp/hello`返回/flag,tac `tac /tmp/hello` 就是tac /flag成功读取到flag
flag:cyberpeace{562030ba653652e56183413067d95143}
希望能与各位师傅们多多交流,可私信,一定回。