1.
?
这里面一共两个问题,一个是waf(WEB应用层上的防御策略),一个是脚本
2.根据提示我们查看一下calc.php文件
?这段代码可以看到num传参的时候,哪些值会被过滤掉
脚本的绕过因为有代码所有可以有针对性的写,问题是我们需要得到权限,就必然会输入字符语句,但是字符会报错,所以问题在于waf的绕过(我想用多阶注入,但是没有节点),于是waf绕过一个是去改num的值,另外一个是改num,改num的值我是改不了,因为不知道里面写的啥,我们就改num,现在的问题是既要改num还要使num能够传到php里。
现在就需要利用php的字符串解析特性,大家可以自行百度,但其实就是两点,一个是删除空白符,另外一个就是把某些字符改成下划线,这样就很简单了,我们在传递的num前加空白符就行了,加几个,你们开心就好,这样传到waf里的num变成了“??? num”,绕过了waf,但是传到脚本里又会变回num。
3.于是构造payload
url/calc.php???? num=print_r(scandir(chr(47)));
//print_r和print的区别:print_r打印数组好使,你们先用print试试就知道了,我用了之后才改的
//scandir()就是检索的意思
//chr(47)是就是“/”因为脚本过滤了,就得改成这个
然后得到
兄弟们看在里面,剩下的就很简单了
4.payload:?? num=print_r(file_get_contents(chr(47).chr(102).chr(49).chr(97).chr(103).chr(103)));
ol
?