RoarCTF 第2页

【BUUCTF】------web之 [RoarCTF 2019]Easy Calc

打开连接随便输入1+1没什么信息F12发现俩个点：1：设置了waf2.calc.php那么访问http://node3.buuoj.cn:28064/calc.php得到直接?num=scandir(’’/’’)但是字符已经被ban了所以使用chr(47)代替?num=scandir(chr(47))但是403了这时考虑waf是否拦截变量num值为字母时。那么我们可以把num前加个空格变成?num

am6iti0n·2020-09-12 10:27

BUUCTF刷题记录

文章目录web：[强网杯2019]随便注[护网杯2018]easy_tornado[SUCTF2019]EasySQL[HCTF2018]admin[RoarCTF2019]EasyCalc[强网杯2019

bmth666·2020-08-25 17:33

RoarCTF 2019 Easy Calc

0x00题目类型：php，RCE。知识点：php对变量空格的解析。0x01查看源码，提醒有WAF保护，不过我们不知道规则。发现calc.php，对传入的num参数做了如下限制。$str=$_GET['num'];$blacklist=['','\t','\r','\n','\'','"','`','\[','\]','\$','\\','\^'];foreach($blacklistas$blac

BlueDoorZz·2020-08-24 05:44

roarctf_2019_easy_pwn

roarctf_2019_easy_pwn安全检查可以劫持malloc_hookida查看main__int64__fastcallmain(__int64a1,char**a2,char**a3){intchoice

fkbugs·2020-08-19 19:50

RoarCTF2019 easy Java

1.尝试登录打开实例，首先出现了一个登录页面。考虑账号用admin，密码先尝试几个登录。提示wrongpassword，但是，这个页面的密码可以直接用暴力破解的方法得到。得出来用户名是admin，密码是admin888。登录过去发现页面"flagisnothere",页面没有啥有用的信息，回到登录页面，发现有个help链接。进去，发先报错“java.io.FileNotFoundException

zydbk123456·2020-08-05 21:11

web-[RoarCTF 2019]Easy Calc

题目要点解法一要点：解法二要点：题目内容解题解法一：解法二：题目要点解法一要点：PHP的字符串解析特性HTTP走私攻击（HTTP数据接收不同步攻击）scandir()：列出参数目录中的文件和目录var_dump()函数用于输出变量的相关信息。var_dump()函数显示关于一个或多个表达式的结构信息，包括表达式的类型与值。数组将递归展开值，通过缩进显示其结构。file_get_contents()

超级神兽小金刚·2020-08-05 21:21

web-[RoarCTF 2019]Easy Java

题目要点题目内容解题题目要点WEB-INF/web.xml泄露WEB-INF主要包含一下文件或目录:/WEB-INF/web.xml：Web应用程序配置文件，描述了servlet和其他的应用组件配置及命名规则。/WEB-INF/classes/：含了站点所有用的class文件，包括servletclass和非servletclass，他们不能包含在.jar文件中/WEB-INF/lib/：存放we

超级神兽小金刚·2020-08-05 21:21

[RoarCTF 2019]Easy Calc 1

查看源码于是访问calc.php试试给num参数传字母不行WAF的问题：WAF不允许num传入字母，那我们可以在num前加个空格来绕过WAF这里利用PHP的字符串解析特性来绕过WAF，如calc.php?num=phpinfo();知识点扫根目录下的所有文件，也就是scandir("/")?num=print_r(scandir('/'));这里由于单引号被过滤了，那就用chr()绕过，chr(4

咳咳！！！我不会....·2020-08-05 21:03

BUUCTF-web类-第六题 [RoarCTF 2019]Easy Calc

BUUCTF-web类-第六题[RoarCTF2019]EasyCalc进入靶场，发现只有一个计算器的页面，输入1+2看看，返回了答案3常规想法，输入单引号试试，弹出了一个窗口经过多个字符测试，发现都会导致弹窗

福警彭于晏·2020-08-05 21:20

RoarCTF Easy Calc wp

点开界面：随便输入数字，抓包，发现有个php文件：我们跳转看看：看到了eval()，很容易想代码执行。试着传入num参数为字符，发现：方法一：官方wp表示考点为php字符串解析绕过WAF（这做题的时候谁知道啊）这里有一篇文章进行了详细介绍。文章中对本题最关键的就是：因此，我们可以试试用空格绕过forbidden。经过测试之后，我发现只有将+或%20放在num前面时才有用，即?+num=phpinf

逗逼如风·2020-08-05 21:48

BUUCTF-WEB刷题记录-1

目录[HCTF2018]WarmUp[强网杯2019]随便注[护网杯2018]easy_tornado[SUCTF2019]EasySQL[HCTF2018]admin[RoarCTF2019]EasyCalc

L.o.W·2020-08-05 21:42

BUUCTF [RoarCTF 2019] Easy Calc Web writeup

BUUCTF[RoarCTF2019]EasyCalcWebwriteup启动靶机，打开页面：一个简单的计算器页面，查看网页源码：提示设置了WAF以确保安全，尝试访问calc.php：得到了WAF源码，

薛定谔了么·2020-08-05 20:37

[RoarCTF 2019]Simple Upload

maxSize=4096;//设置附件上传大小$upload->allowExts=array('jpg','gif','png','jpeg');//设置附件上传类型$upload->rootPath='./Public/Uploads/';//设置附件上传目录$upload->savePath='';//设置附件上传子目录$info=$upload->upload();if(!$info){/

sm1rk·2020-08-05 20:00

CTF [RoarCTF 2019]Easy Calc writeup PHP字符串解析特性Bypass http请求走私(HTTP Request Smuggling)

0x00开干一看这种easy的，就慌，每次被ctf打，哪是打ctf。。。试了下，还真可以算。但是看网页没有动，是静态。那这个结果肯定是前端的JS了。JS使用ajax发送数据到calc.php，然后根据返回结果来显示。比如下面这样就是计算失败的。而且上面提示，已经设置好了waf肯定也不是那么容易的，查看了头部和其它元素后，发现没有什么可以利用的，就去看了下calc.php把num参数中的特殊字符都检

baynk·2020-08-05 20:12

BUUCTF_[RoarCTF 2019]Easy_Calc

EasyCalc进入题目是一个计算器，只能输入正常的数学计算式，字母什么的都输入不了，回显计算不出来，查看源码，发现是在calc.php里面计算的，而且提示说存在Waf，这些字母应该就是Waf过滤的，访问calc.php。这个代码是先进行一个黑名单判断，然后执行eval()。过滤了很多字符，而且不能输入num不能是字母，所以我们用%20num进行绕过，利用的是php的字符串解析特性，构造?num=

kkkkkkkkkkkab1·2020-08-05 19:06

BUUCTF WEB [RoarCTF 2019]Easy Calc

BUUCTFWEB[RoarCTF2019]EasyCalc打开网页是一个计算的！！随便输入可以计算，然后就没啥了，右键源代码：存在waf，，还有个新的页面！

A_dmins·2020-08-05 19:42

RoarCTF 2019 babyRSA writeup

做这题看到阶乘一下想到了gxzy2020的一题，也是考到了威尔逊定理（Wilson’stheorem）：当且仅当p为素数时：(p-1)!≡-1(modp)。阶乘只乘到B，所以把（B+1）乘到（A-1）这一段也补上就得到了威尔逊公式，反之我们可以由用-1乘这一段的模反数，就得到了题目中的(B!)%A。exp:fromCrypto.Util.numberimport*fromsympyimportne

Am473ur·2020-08-05 19:54

[RoarCTF] web easy_calc wp

参考链接：[传送门](https://mp.weixin.qq.com/s/iyzOKWbLqDX5Y6Fad5Exmw)CTF讨论群：946220807wp一种熟悉的感觉。相信很多人都遇到个问题。只要num传入字母。就会403。然后一脸懵逼的做下一道题，/xyx。这是因为有waf，匹配num的值是否为数字。首先得先绕过这个waf。bypass：https://www.freebuf.com/ar

Vicl1fe·2020-08-05 19:53

Roarctf 题解

这次Roarctf很可惜，，，不过这次也算做出来了一些题目决心把不会的题目好好看看会的写到这篇博客不会的保存下来以后留下来好好看看，，估计需要几天更新这几天都有些忙==RE:polyre这个题目ollvm

pipixia233333·2020-08-05 19:37

2019 RoarCTF--polyre

测试文件：https://www.wocloud.com.cn/webclient/share/sindex.action?id=i9K_Br6TgE4ImHzH9IwB7mKcRy5TUdZ8U6_uiWwxDovNjPaT6IJAgRhtvqTOsW3w1.准备获取信息64位文件2.文件处理2.1控制流平坦化IDA打开后可以看到__int64__fastcallmain(__int64a1,c

Hk_Mayfly·2020-08-05 19:50

由Roarctf Easy Calc引起对http走私和分块传输绕过waf的思考

RoarctfEasyCalc引起对http走私和分块传输绕过waf的思考（搬运）原创：星盟安全团队星盟安全原文链接：https://mp.weixin.qq.com/s/fsMLNHiyd1_tQkz9wTRhMg之前在做roarctf

TUANZI_Dum·2020-08-05 19:08

buuoj、xmctf、攻防世界刷题（web）write up

BabySQli[极客大挑战2019]Http+++++代码执行类(RCE类)：[xmctf]web12-考核(无参rce)[GXYCTF2019]PingPingPing[xmctf]-RCE-训练[RoarCTF20

Ocean_Spary_·2020-08-05 19:23

[RoarCTF 2019]Easy Calc -wp

打开环境，发现一个简单的计算器，查看源码提示上了waf，然后还有一个calc.php，访问页面出现一段代码，接下来进行代码审计。对num传参，过滤了一些字符，最后一个eval函数，这里很容易就想到代码执行漏洞。当你任意传一个字母进去时候，会发现waf拦截，这里可以利用PHP的字符串解析特性绕过waf，简单来讲当你传?%20num=aaa;时php会默认删除空格等同于?num=aaa;，但是waf会

冰可乐不加可乐·2020-08-05 18:53

[RoarCTF 2019]Easy Java -wp

打开容器后发现一个登入框，这里是可以登入的，存在弱口令admin，admin888但是登入没什么用点开help看到了熟悉的filename参数试了一下直接get传没什么用，换POST传输这个下载下来没什么用结合java，看一下WEB-INF/web.xml传filename=WEB-INF/web.xml打开发现下面有一个FlagController路径为：com.wm.ctf.FlagContr

冰可乐不加可乐·2020-08-05 18:53

[RoarCTF 2019]Easy Calc(http走私 && 利用PHP的字符串解析特性Bypass)

0x01题目描述打开题目如上图所示，有点像国赛的love_mathF12查看源码提示有waf和一个calc.php网页，我们先打开这个网页看看是什么打开后直接给出了源码，我们可以看见过滤了一些特殊字符，然后eval执行我们的命令，想着前面的waf，不可能是这样简单的，我们先试试传入一些字符试试。当我传入字符时，waf拦截了我们的请求题目的突破点：只能传入数字和运算符号，不能传入字符（想办法绕过wa

HyyMbb·2020-08-05 18:19

buuctf [RoarCTF 2019]Easy Java 记录

一个登陆界面，万能密码不行，点help进去发现是这东西页面的url是这样的：http://57daea24-ad08-4703-9989-4719a046b7ee.node3.buuoj.cn/Download?filename=help.docx看到这种一般是文件包含，先抓下包看看emmmmm，改下GET请求看看果然是文件包含，唉，但是是java做的服务器，不知道指令，看web才知道的。分享一个

Penson.SopRomeo·2020-08-05 18:24

复现——RoarCTF-Web-simple_upload

题目是由ThinkPHP写的，看得出来应该是一个文件上传，同时也对上传的文件后缀做了过滤文件上传中upload()函数在不传参的时候是以多文件形式上传的，加上只过滤了后缀名，而且还有一点是thinkPHP上传的文件是以递增式命名方式保存的，所以可以尝试多文件上传来绕过过滤，即先上传一个正常文件再上传一个木马文件，然后再上传一个正常文件，然后根据第一和第三个正常文件的文件名之间的差异，爆破出我们上传

crazy' 夏末·2020-08-05 18:56

RoarCTF2019部分Writeup

WebEasyCalc页面源码线索中得到calc.php需要上传一个num的参数值，然后经过正则过滤之后输出我们上传的num的值的执行结果。我们可以使用分号;来使num为多个语句，从而执行多条语句，关键是我们怎么传递这个num的值，而且在页面源码中告诉我们网站上了WAF我们并不能从网页中得到flag在哪里，就算利用成功可以读取文件，也要先知道flag在哪，所以要先利用scandir("/")来读取

N0Sun諾笙·2020-08-05 17:39

[RoarCTF 2019]Easy Calc

1.知识点1.1PHP的字符串解析特性这是别人对PHP字符串解析漏洞的理解，我们知道PHP将查询字符串（在URL或正文中）转换为内部$_GET或的关联数组$_POST。例如：/?foo=bar变成Array([foo]=>“bar”)。值得注意的是，查询字符串在解析的过程中会将某些字符删除或用下划线代替。例如，/?%20news[id%00=42会转换为Array([news_id]=>42)。如

沐目_01·2020-08-05 17:26

[RoarCTF 2019]Online Proxy

1.1X-Forwarded-For一看到currentIP和lastIP，就应该想到，应该是把我们的IP给写到数据库里了。并且我们发现，通过X-Forwarded-For，确实可以伪造我们的IP。我感觉这到题就应该换一个名字，这题和proxy有半毛钱关系，而且那个durationtime也是忽悠人了。1.2思路我们测试一下，先输入1’or‘1此时我们的currentIP就等于它，让后我们再随便换

沐目_01·2020-08-05 17:56

[原题复现+审计][RoarCTF 2019]Easy Calc(http协议走私、php字符串解析漏洞)

简介原题复现：考察知识点:http协议走私、php字符串解析漏洞线上平台:https://buuoj.cn（北京联合大学公开的CTF平台）榆林学院内可使用信安协会内部的CTF训练平台找到此题过程一枚菜狗打开页面懵逼一个小时然后搜索WP。。。。。查看源码发现利用php字符串解析漏洞计算的时候会访问calc.php页面访问它获得源码审计发现有个过滤过滤完执行eval()所以可以构造http://nod

笑花大王·2020-08-05 17:23

RoarCTF2019web题-easy_java writeup

RoarCTF2019web题-easy_java作为团队最强的web选手（就我一个），这次的比赛也没时间打，把简单的题放一下，前面要说下，做web宁可把题目想简单，也不要想复杂，因为现在的web题出题人越来越厉害

silencediors·2020-08-05 17:32

BUUCTF_RoarCTF2019_EasyJava

BUUCTF_RoarCTF2019_EasyJava进去之后是一个登陆框，试一下admin和admin888进去了，但是没有任何信息，只是说flagisnothere点击help的页面出现异常，这里发送的是

kkkkkkkkkkkab1·2020-08-05 17:59

2019 Roarctf web 复现

那时候没来得及打比赛，这段时间复现一波。一.EasyCalc1.打开题目是一个计算器，首先随便输入几个测试一下，当输入的内容有字母的时候，会弹框”这啥算不来“F12，查看一下网页源代码，有一个calc，我们去访问一下calc.php过滤了一些东西，但是为什么输入字母就会出现“算不来”这个弹框呢，推测有waf，这个时候陷入了思考，该如何绕过呢？2.网上搜索到了这篇文章https://www.secj

呆呆呆了丢·2020-08-05 17:56

BUUTCTF [RoarCTF 2019]Easy Calc

查看一下源码发现计算的时候请求了一个calc.php发现过滤了一些特殊字符直接传num=phpinfo(),发现请求失败，应该是被防火墙过滤掉利用php的解析特性，绕过防火墙检测。因为php解析GETPOST请求的时候会自动过滤掉空格，而防火墙不会。如：num=phpinfo()%20num=phpinfo()在php解析的时候就是一个东西，防火墙则会当成两个变量成功绕过，利用scandir("/

Fstone2020·2020-08-05 17:23

RoarCTF_Web_Writeup

周末有点事，BUUCTF上复现一下…easy_calc这一题和国赛的lova_math一题看起来有点像…源码中提示了这题加了waf，我们访问calc.php，看到源码如下num传入表达式，然后用eval()计算并输出，因为加了waf所以num中如果有字母，会直接返回403，所以第一步就是绕过它。比较简单的方式就是直接在查询参数前面加个空格，即将?num=改为?num=即可绕过。可以参考这篇文章：利

LetheSec·2020-08-05 17:23

BUU[RoarCTF 2019]Easy Calc

打开发现一个计算界面查看页面源代码可以看见有个url提示calc.php?num="+encodeURIComponent($("#content").val())查看calc.php获取源码###############$("#content").val()是什么意思：获取id为content的HTML标签元素的值,是JQuery,$("#content")相当于document.getElem

FFFIONA__·2020-08-05 17:06

RoarCTFweb题解

前言参加了RoarCTF,题目质量挺好的，学到了一些东西。在这里复现记录一下。easy_calc打开题目发现是一个计算器的功能，感觉计算器已经出过好多次了。

St0ut·2020-08-05 17:58

BUUCTF-web-[RoarCTF 2019]Easy Calc

有一段注释说这题有WAF，那肯定思路就是如何绕过WAF拿到flag了进入题目是一个计算器，只能输入正常的数学计算式，字母什么的都输入不了，回显计算不出来，查看源码，发现是在calc.php里面计算的，而且提示说存在Waf，这些字母应该就是Waf过滤的，访问calc.php于是我们有了大概思路，传入num参数，再想办法绕过过滤，之后利用eval()函数即可这里可以利用PHP字符串解析特性Bypass

一只小白来了·2020-08-04 21:57

BUUCTF-PWN roarctf_2019_easyheap（double free， stdout重定向）

这里写目录标题题目分析漏洞利用Exp题目分析有添加，删除，展示三个主要功能，不过添加有次数限制，同时限制了申请大小，使得我们不能申请出unsortedbin范围内的chunk删除之后没有置空，可以多次freeshow功能有条件限制，而且会把stdout关了添加和后门的次数后门函数可以进行calloc和free，同样没有置空，但是后门函数的次数限制逻辑有问题，即使为0还会再进行一次减，这样就不为0了

L.o.W·2020-08-04 21:51

BUUCTF-PWN roarctf_2019_realloc_magic（tcache attack，块重叠，劫持_IO_2_1_stdout_泄露libc）

目录题目分析漏洞利用Exp题目分析free没有限制，可以多次free使用realloc进行内存分配，没有限制大小realloc的几个特殊用法（摘自官方WP）size==0，这个时候等同于freerealloc_ptr==0&&size>0，这个时候等同于mallocmalloc_usable_size(realloc_ptr)>=size，这个时候等同于editmalloc_usable_size

L.o.W·2020-08-04 21:20

roarctf_2019_easyheap(文件描述符1关闭后仍然可以交互)

roarctf_2019_easyheap首先，检查一下程序的保护机制然后，我们用IDA分析一下最开始的时候，我们可以在bss段输入一些数据，这意味着，我们可以在bss段伪造一个chunkshow功能必须要满足条件才能使用

haivk·2020-08-04 18:21

RoarCTF2019 [MISC：黄金6年][Web：Easy Calc]总结与复现

前言去年做了RoarCTF线上赛题。只做出一道MISC题。去年已经把MISC题黄金6年和Web题EasyCalc总结并复现了一下。现在才发现忘记发博客了。。尴尬。。

Qwzf·2020-08-04 17:48

RoarCTF easy_pwn writeup

漏洞点：在writenote中，如果再输入一次size的大小比创建note时的大小的差值为10，则读入的数据会比chunk的size多一，也就造成了off-by-one漏洞漏洞利用思路：大体路线：1.修改chunk1的size为0xf12.修改chunk3的size为0xa1,之后free掉，再create一个size为0x20的chunk，由于修改了chunk3的size，所以分配的时候会从un

苍崎青子·2020-08-04 17:26

【pwn】roarctf_2019_easy_pwn

例行检查保护全开，分析程序。当edit大小比申请大小多10的时候可以多输入一字节，存在off-by-one。修改size来进行overlap。需要注意的是最后覆盖malloc_hook时，onegadget都不可用，应为栈条件不满足，可以利用realloc的trick来调整栈。参考：堆的六种利用手法frompwnimport*io=remote('xx.xx.xx.xx',xxxx)libc=EL

yudhui·2020-08-04 14:48

[RoarCTF 2019] web题-Easy Calc

//复现地址:https://buuoj.cn/challenges打开环境以后是一个简易计算器，从页面源代码发现了calc.php文件，该页面告诉我们有waf。calc.php是一个过滤，过滤完成后执行eval函数这里利用php字符串解析特性在变量前面加上空格?num=phpinfo了解下scandir()函数定义：scandir()函数返回指定目录中的文件和目录的数组。语法：scandir(d

BROTHERYY·2020-08-04 11:17

[RoarCTF 2019] web题-Easy Java

复现环境:buuoj.cn打开环境，最开始用弱口令进去了，还心想比较简单，后来发现错了，然后点击help发现有报错访问这个地址tips:WEB-INF知识点WEB-INF主要包含一下文件或目录:/WEB-INF/web.xml：Web应用程序配置文件，描述了servlet和其他的应用组件配置及命名规则。/WEB-INF/classes/：含了站点所有用的class文件，包括servletclass