微信号:ikanxue

介绍:致力于移动与安全研究的开发者社区,看雪学院(kanxue.com)官方微信公众帐号.

跟着crownless学Web之(2)calc2

2019-01-28 17:57 crownless


戳下文链接,即可阅读 :


跟着crownless学Web之(1)神奇的计算器


本文是由Web安全版块的新版主crownless原创讲解【神奇的计算器】的第二部分。(建议先了解第一部分)


在这篇文章中,你将学到:

  • php die函数;

  • php strpos函数;

  • 一些绕过过滤的技巧。



话不多说,让我们开始吧。首先打开这次的CTF赛题网站:

http://139.224.220.67:30008/


你会看到如下php代码:

<center>
<h2>calc</h2>

<?php
$str="";
if(!empty($_GET)){
   $str=$_GET["calc"];
   if(strpos($str,"#")!==false)
       die;
   if(strpos($str,"`")!==false)
       die;
   if(strpos($str,"flag")!==false)
       die;
}
?>

<form action="./index.php">
input: <input type="text" name="calc" value="<?php echo $str;?>">
 <input type="submit" value="Submit">
</form>

<?php
   echo "result:".shell_exec("echo $str | bc");
?>

</center>



<?php
show_source(__FILE__);


可以看到,这次的源代码和上一个教程中的源代码基本一致,不过多出了如下部分:

if(strpos($str,"#")!==false)
   die;
if(strpos($str,"`")!==false)
   die;
if(strpos($str,"flag")!==false)
   die;


这里strpos的作用是“查找字符串首次出现的位置”。die的作用是立即停止该php后端的运行。那么很明显,这是一种过滤。当str中包含#时,php后端将立即停止运行。所以上一篇教程中提到的用#来注释掉| bc的方法不再可用。


首先,我们不知道flag在哪里,所以一定要用
ls来列出目录。所以,我们的payload必须包含; ls;。既然无法注释掉| bc,那么我们可以传一个空字符串给管道,所以我们的payload可以是; ls; echo。提交后,我们发现有一个名叫flag的文件。所以接下来我们要打印这个文件的内容。但是问题来了,如果我们发送; cat flag; echo这个payload,那么过滤代码就会立即检测到有flag字符串,从而触发die。有没有办法绕过这个限制呢?


这里又要涉及到shell的一些技巧。当你使用通配符
*时,就可以绕过这个限制。具体原理可以参考这里。所以我们可以发送; cat f*; echo这个payload,因为目录下只有一个以f开头的文件flag,所以就相当于执行了; cat flag; echo,至此,我们学会了一些基本的绕过过滤的技巧。



作者:周信安


看雪ID: crownless,毕业于复旦大学软件工程专业,看雪WEB安全版块 新版主,研究方向为WEB安全、Android、系统安全。


个人博客地址:

https://zhouxinan.github.io





- End -


看雪ID:crownless               

https://bbs.pediy.com/user-833800.htm


本文由看雪论坛 crownless 原创

转载请注明来自看雪社区



热门图书推荐:

立即购买!



(点击图片即可进入)



热门技术文章:        





公众号ID:ikanxue

官方微博:看雪安全

商务合作:wsc@kanxue.com


点击下方“阅读原文”
 
看雪学院 更多文章 IE VBScript 漏洞之CVE-2018-8174 LINUX0.11信号机制 PoC攻击代码授予标准Microsoft Exchange用户域管理员权限 Linux CVE-2017-16995整数扩展问题导致提权漏洞分析 Brida操作指南
猜您喜欢 TLS协议分析 (八) 实现与开源项目 2016第五届iWeb峰会城市巡回广州站 圆满落幕 Go语言反射三定律 10分钟,用初中数学知识看懂深度学习! 假笨说参数-GC日志其实也支持滚动输出的