通过一道题目带你深入了解WAF特性、PHP超级打印函数、ASCII码chr()对应表等原理[RoarCTF 2019]Easy Calc 1
题目环境:
依此输入以下内容并查看回显结果
1+1
1’
index.php
ls
到这里没思路了
F12查看源代码
一定要仔细看啊,差点没找到,笑哭
访问calc.php文件
果然有点东西
PHP代码审计
error_reporting(0);关闭错误报告
通过GET方式传参的参数num
show_source函数将文件内容显示出来
参数num的值赋值给变量str创建一个了名为blacklist的数组,该数组包含一系列字符,这些字符被认为是需要从目标字符串中排除的“非法”或“危险”字符。这些字符包括空格、制表符(‘\t’)、回车(‘\r’)、换行(‘\n’)、单引号(‘’‘)、双引号(")、反引号(`)、左方括号(’[‘)、右方括号(’]‘)、美元符号(’KaTeX parse error: Expected group after '^' at position 17: …)、反斜杠('')和尖括号('^̲') 使用foreach循环遍…blackitem。
在每次循环中,使用preg_match函数检查目标字符串 s t r 是否包含当前的黑名单项(即 str是否包含当前的黑名单项(即 str是否包含当前的黑名单项(即blackitem)。正则表达式’/’ . b l a c k i t e m . ′ / m ′ 用于匹配任何与当前黑名单项相匹配的字符。这里的 / m 是正则表达式的标记,表示多行模式。在这种模式下 , 和 blackitem . '/m'用于匹配任何与当前黑名单项相匹配的字符。这里的/m是正则表达式的标记,表示多行模式。在这种模式下,^和 blackitem.′/m′用于匹配任何与当前黑名单项相匹配的字符。这里的/m是正则表达式的标记,表示多行模式。在这种模式下,和分别匹配每一行的开始和结束,而不仅仅是整个字符串的开始和结束。
如果在目标字符串中找到任何黑名单字符,即preg_match函数返回true,那么程序将立即停止执行,并输出“what are you want to do?”。
最后,这段代码结束foreach循环。
过滤内容:
- 空格
- 制表符(‘\t’)
- 回车(‘\r’)
- 换行(‘\n’)
- 单引号(‘’')
- 双引号(")
- 反引号(`)
- 左方括号(‘[’)
- 右方括号(‘]’)
- 美元符号(‘$’)
- 反斜杠(‘’)
- 尖括号(‘^’)
通过给参数num传参(数字和字母)进一步判断
?num=1
?num=a
正常回显:
回显报错:
F12网页源代码是否忽略一些东西?
提示存在WAF检测,猜测后台还存在一些过滤
空格绕过WAF检测的原理
一些攻击者可能会尝试利用WAF(Web Application Firewall)的特性,通过在恶意请求中插入特定的字符或字符串来绕过WAF的检测。其中一种常见的方法是使用URL编码或转义字符来绕过WAF。
当攻击者使用空格字符时,WAF通常会将其视为无效字符而将其过滤掉。然而,攻击者可以使用URL编码或转义字符来将空格字符编码为有效的URL编码字符。
例如,使用URL编码,空格可以被编码为"%20"。攻击者可以在恶意请求中使用这个编码后的空格字符来绕过WAF的过滤。
当WAF接收到包含URL编码空格的请求时,它可能会将其解释为有效的URL编码字符,而不是一个空格字符。这样,攻击者就可以在请求中插入有效的URL编码字符,从而绕过WAF的过滤。
需要注意的是,这种方法并不是所有WAF都有效,因为不同的WAF可能会有不同的特性和行为。此外,攻击者还需要了解目标WAF的特性和行为,以便选择合适的方法来绕过其检测。
使用空格绕过WAF检测
?%20num=a
成功绕过WAF检测
查看此题目环境的一些配置信息
phpinfo()是PHP编程语言的内置函数,用来查询PHP相关配置和重要信息等等
?%20num=phpinfo()
disable_functions是PHP内置的一个设置选项,类似于黑名单,用来禁用危险函数、命令、关键字等等,用来提高网站和WAF的安全性
**从红框那里可以看到过滤了很多命令执行函数,比如:**passthru、exec、system等等
从这里看的话命令执行是行不通了,既然phpinfo()可以打通,那咱们就用PHP内置输出函数来获取flag值
PHP的输出函数有:
- echo()可输出字符串
- print()、print_r()、printf()、sprintf()、var_dump()可输出变量的内容、类型或字符串的内容、类型、长度等
- die()输出内容并退出程序
经过测试只有print_r()函数和var_dump()函数可以输出内容
靠这些还远远不够
还需要用到两个函数和一个方法
scandir() 函数返回指定目录中的文件和目录的数组,类似于Linux里面的“ls”命令。
file_get_contents() 函数把整个文件读入一个字符串中。
字符串转ASCII码chr()对应表
为什么PHP可以识别ASCII码chr()对应表?
PHP可以识别ASCII码chr()对应表,是因为PHP是一种通用的服务器端脚本语言,它可以处理文本数据。ASCII码是一种7位无符号整数编码系统,它使用数字0-127来表示所有的字符、数字和标点符号等。在PHP中,chr()函数可以将ASCII码转换为相应的字符。因此,在编写PHP程序时,我们可以使用chr()函数将ASCII码转换为相应的字符,以便在程序中使用它们。
更详细内容可以参考我这篇文章https://blog.csdn.net/m0_73734159/article/details/133854073?spm=1001.2014.3001.5502
查看根目录下的所有文件(print_r和var_dump两种方法对比参考)?%20num=print_r(scandir(chr(47)))
?%20num=var_dump(scandir(chr(47)))
发现f1agg文件
探测f1agg文件内容
根目录下的f1agg文件对应ASCII码chr()对应表依次是
- / => chr(47)
- f => chr(102)
- 1=> chr(49)
- a => chr(97)
- g => chr(103)
- g => chr(103)
使用连接符"."进行连接:
/f1agg => chr(47).chr(102).chr(49).chr(97).chr(103).chr(103)
?%20num=print_r(file_get_contents(chr(47).chr(102).chr(49).chr(97).chr(103).chr(103)))
?%20num=var_dump(file_get_contents(chr(47).chr(102).chr(49).chr(97).chr(103).chr(103)))
这两个函数不同回显结果,大同小异,大家可以对比进行深入了解这两个打印函数
得到flag:flag{fc4b0414-1e6c-4391-89d8-c5f1dfe3e0dd}
相关文章:
通过一道题目带你深入了解WAF特性、PHP超级打印函数、ASCII码chr()对应表等原理[RoarCTF 2019]Easy Calc 1
题目环境: 依此输入以下内容并查看回显结果 11 1’ index.php ls 到这里没思路了 F12查看源代码 一定要仔细看啊,差点没找到,笑哭 访问calc.php文件 果然有点东西 PHP代码审计 error_reporting(0);关闭错误报告 通过GET方式传参的参数num sho…...
类直径树上贪心
http://cplusoj.com/d/senior/p/SS231109C 场上想到枚举点,然后最大值为高,然后可以求最大值。但是感觉计数会重 计数其实不会重,如图中,红色线段显然比蓝色线段优 所以我们枚举3叉点时没错的 #include<bits/stdc.h> usin…...
求职招聘小程序源码系统+社交招聘+多城市招聘 带完整搭建教程
大家好,今天罗峰来给大家分享一款求职招聘小程序源码系统。目前,求职招聘市场在不断变革。传统的招聘网站已经无法满足人们对于高效、便捷、多元化的招聘需求。该系统集求职招聘、社交招聘、多城市招聘等功能于一体,旨在为用户提供更加便捷、…...
Java Web 安全实战:从登录到退出
Java Web 安全实战:从登录到退出 1. 介绍 在当今互联网时代,用户信息安全至关重要。在Java Web开发中,Spring Security是一个强大且灵活的身份验证和访问控制框架,它可以帮助我们构建安全可靠的应用程序。本文将介绍如何使用Spr…...
08.Diffusion Model数学原理分析(下)
文章目录 denoising matching term σ t z \sigma_tz σtz的猜想Diffusion Model for SpeechDiffusion Model for TextMask-Predict 部分截图来自原课程视频《2023李宏毅最新生成式AI教程》,B站自行搜索。 书接上文。 denoising matching term E q ( x t ∣ x 0 …...
什么样的CRM系统更适合外贸企业?
外贸CRM系统作为外贸客户关系管理的工具,已经成为了当下外贸企业对外贸易过程中不可或缺的一环。那什么样的CRM系统更适合外贸企业?小Z向您推荐Zoho CRM。下面说说它到底有什么好处和作用。 一、搭建更高效的客户关系管理系统 外贸企业从前期推广、开发…...
selenium自动化测试入门 —— 键盘鼠标事件ActionChains
在使用 Selenium WebDriver 做自动化测试的时候,会经常模拟鼠标和键盘的一些行为。比如使用鼠标单击、双击、右击、拖拽等动作;或者键盘输入、快捷键使用、组合键使用等模拟键盘的操作。在 WebDeriver 中,有一个专门的类来负责实现这些测试场…...
高级运维学习(十四)Zabbix监控(一)
一 监控概述 1 监控的目的 (1)报告系统运行状况 每一部分必须同时监控内容包括吞吐量、反应时间、使用率等 (2)提前发现问题 进行服务器性能调整前,知道调整什么找出系统的瓶颈在什么地方 2 监控的资源类别 …...
vite + electron引入itk报错
代码 import { readImageArrayBuffer } from itk-wasm console.log(readImageArrayBuffer)通过itk-wasm官网,创建新的项目vitevue(vue2或者vue3),都没问题。加入electeon后包此错。通过排查,意外找到原因,…...
大厂面试题-MySQL为什么使用B+Tree作为索引结构
从几个方面来回答: 首先,常规的数据库存储引擎,一般都是采用B树或者B树来实现索引的存储。 (如图)因为B树是一种多路平衡树,用这种存储结构来存储大量数据,它的整个高度会相比二叉树来说,会矮很多。 而对…...
Tomcat的Engine容器
https://tomcat.apache.org/tomcat-10.1-doc/config/engine.html Engine元素代表与一个特定的Catalina Service关联的、整体的请求处理系统。它从一个或多个Connector接收并处理请求、返回完整的响应给Connector,以便最终传输给客户端。 在Service元素内部…...
vscode绿色行数设置
"workbench.colorCustomizations": {"editorLineNumber.foreground": "#00ff00"},...
闪站侠洗衣洗鞋管理系统app小程序开发;
闪站侠洗护软件系统为您提供全面的洗衣洗鞋解决方案,系统多门店,多网点。为您开通公中号小程序,并与顺丰、天猫、抖音、美团点评等第三方平台紧密连接。 我们解决洗衣工厂/门店的五大问题: 一、效率 从门店收衣到工厂出库…...
【操作系统】测试一
文章目录 单选题判断题简答题 单选题 ( )不是基本的操作系统。 A. 批处理操作系统 B. 分时操作系统 C. 实时操作系统 D. 网络操作系统 【 正确答案: D】 操作系统提供给程序员的接口是( )。 A. 进程 B. 系统调用 C. 库函数 D. B和…...
如何用sklearn对随机森林调参
文章目录 一、概述二、实操1、导入相关包2、导入乳腺癌数据集,建立模型3、调参 三、总结 Link:https://zhuanlan.zhihu.com/p/126288078 Author:陈罐头 一、概述 sklearn是目前python中十分流行的用来实现机器学习的第三方包,其中…...
Java中单例模式
什么是单例模式? 1. 构造方法私有化 2. 静态属性指向实例 3. public static的 getInstance方法,返回第二步的静态属性 饿汉式是立即加载的方式,无论是否会用到这个对象,都会加载。 package charactor;public class GiantDragon…...
第1章 现代通信网概述
文章目录 1.1 通信网的定义1.2 通信网的分类1.3 通信网的结构1.4 通信网的质量要求 1.1 通信网的定义 1.1.1 通信系统 1.1.2 通信网的定义 通信网是由一定数量的节点 (包括终端节点、交换节点) 和连接这些节点的传输链路有机地组织在一起,以实现两个或多个规…...
99%的时间里使用的14个git命令
学习14个Git命令,因为你将会在99%的时间里使用它们 【赠送】IT技术视频教程,白拿不谢!思科、华为、红帽、数据库、云计算等等 https://xmws-it.blog.csdn.net/article/details/117297837?spm1001.2014.3001.5502 必须了解的命令整理 1&…...
适用于 iOS 的 10 个最佳数据恢复工具分享
在当今的数字时代,我们的移动设备占据了我们生活的很大一部分。从令人难忘的照片和视频到重要的文档和消息,我们的 iOS 设备存储了大量我们无法承受丢失的数据。然而,事故时有发生,无论是由于软件故障、无意删除,甚至是…...
泛微E-Mobile 6.0命令执行漏洞
声明 本文仅用于技术交流,请勿用于非法用途 由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。 一、漏洞原理 泛微E-Mobile 6.0存在命令执行漏洞的问题,在…...
Vue项目里用vxe-grid做后台管理表格,我踩过的这些坑你千万别再踩了
Vue项目中vxe-grid实战避坑指南:工单管理模块深度解析 第一次在工单管理模块用vxe-grid实现动态可编辑表格时,我对着文档里那句"支持动态下拉选项"研究了整整三天。直到在Chrome调试器里看到column.editRender.props.options这个关键属性时&am…...
深度学习 —— 正则化批量归一化BN
正则化概念是什么? 机器学习/深度学习中,防止模型过拟合/提高模型泛化能力的方法L1与L2正则化L1和L2正则化通过在损失函数上添加惩罚项来实现L1正则化在工程中,通常引入软阈值操作,权重小于某个值时,强制为0深度学习中…...
)
YOLOv26蜜蜂识别检测系统:8080张图像+PyQt5界面+模型权重+远程部署(含训练曲线/混淆矩阵)
摘要 本文基于YOLO26目标检测算法构建了一套蜜蜂识别检测系统,用于自动识别图像中的蜜蜂目标。数据集共包含8,080张标注图像(训练集5,640张、验证集1,604张、测试集836张),类别仅为bees。实验结果表明,模型在验证集上的…...
Node-RED摄像头拍照避坑指南:解决node-red-ui-webcam的常见权限与格式问题
Node-RED摄像头拍照避坑指南:解决node-red-ui-webcam的常见权限与格式问题 当你第一次在Node-RED中尝试使用node-red-ui-webcam节点时,可能会遇到各种意想不到的问题。浏览器拒绝访问摄像头、图像格式不兼容、跨域限制……这些问题往往让开发者感到困惑。…...
Vue3 + Pinia项目里,Rollup打包报循环依赖警告?别慌,一个真实案例教你定位和修复
Vue3 Pinia项目中Rollup循环依赖警告的实战排查与修复 最近在重构一个Vue3企业级后台项目时,遇到了一个棘手的Rollup打包警告。项目采用Vue3 Pinia Rollup技术栈,警告信息直指循环依赖问题。作为有三年Vue实战经验的开发者,我决定深入剖析…...
)
3小时重构旧代码库:用C++26反射替代Boost.Hana的4步安全迁移法(附clangd语义补全配置清单)
第一章:C26 反射特性在元编程中的应用 避坑指南C26 引入的静态反射(Static Reflection)核心提案(P1240R4、P2637R2 等)为元编程带来了范式级变革——但其当前实现状态仍处于编译器实验阶段,需警惕语言特性与…...
告别卡顿:Svelte 5中$derived与Map类型Store的终极响应式优化指南
告别卡顿:Svelte 5中$derived与Map类型Store的终极响应式优化指南 【免费下载链接】svelte web development for the rest of us 项目地址: https://gitcode.com/GitHub_Trending/sv/svelte Svelte 5作为一款革新性的前端框架,通过其独特的编译时…...
别再只用clicked了!QPushButton的mouseDoubleClickEvent实战:从继承关系到完整代码实现
深入Qt事件机制:从QPushButton双击事件看自定义控件开发 在Qt开发中,按钮交互是最基础却最容易产生误解的环节。许多开发者习惯性地使用clicked()信号处理点击事件,但当需要实现双击功能时,往往会陷入困惑——为什么QPushButton没…...
实战:5分钟搞定线上应用性能监控与JFR分析)
别再只用jstack了!JDK自带的JMC(Java Mission Control)实战:5分钟搞定线上应用性能监控与JFR分析
别再只用jstack了!JDK自带的JMC实战:5分钟搞定线上性能监控与JFR分析 当线上Java应用突然出现CPU飙高、内存泄漏或频繁GC时,大多数开发者的第一反应是打开终端输入jstack。但面对生产环境复杂的性能问题,仅靠线程快照就像用听诊器…...
搞定复杂产品TOP-DOWN设计全流程)
从草图到总装:用CREO骨架模型(Skeleton)搞定复杂产品TOP-DOWN设计全流程
从草图到总装:用CREO骨架模型(Skeleton)搞定复杂产品TOP-DOWN设计全流程 在工业设计领域,复杂产品的开发往往面临一个核心挑战:如何确保数十甚至上百个零部件能够精准配合,同时保持设计变更的高效同步。传统…...