Easy Calc

查看源码,发现有前端过滤

<script>
    $('#calc').submit(function(){
        $.ajax({
            url:"calc.php?num="+encodeURIComponent($("#content").val()),
            type:'GET',
            success:function(data){
                $("#result").html(`<div class="alert alert-success">
            <strong>答案:</strong>${data}
            </div>`);
            },
            error:function(){
                alert("这啥?算不来!");
            }
        })
        return false;
    })
</script>

提交到calc.php,查看源码:

<?php
error_reporting(0);
if(!isset($_GET['num'])){
    show_source(__FILE__);
}else{
        $str = $_GET['num'];
        $blacklist = [' ', '\t', '\r', '\n','\'', '"', '`', '\[', '\]','\$','\\','\^'];
        foreach ($blacklist as $blackitem) {
                if (preg_match('/' . $blackitem . '/m', $str)) {
                        die("what are you want to do?");
                }
        }
        eval('echo '.$str.';');
}
?>

尝试提交却发现没有权限,题目提示设置了一个安全的WAF,原来是被WAF了。输入除了数字以外的字符都会报错。

发现WAF却不是PHP源码的WAF,这里应该是还有一层除了PHP之外的WAF。

这里利用到了PHP字符串解析特性来绕过WAF。

该网页还存在一个WAF,会对num进行审计,但当在num前加上空格,即变量为%20num时,就可以绕过WAF对num的审计。在转化为PHP的key=>value时,PHP解析了传入的key,做了两件事情:

  • 删除空白符

  • 转化特殊字符

就可以把想要的变量转化为num了。

于是提交exp:

返回phpinfo();

scandir():同Linux Shell下的ls命令类似,但是要指定目录,由于WAF过滤了/,所以需要用chr(47)来进行代替。上面的语句等同于scandir("/")

var_dump():用来返回变量具体的参数信息。例如当输出一个Array变量时,回显为Array;如果使用var_dump()函数,则可以返回变量的具体信息。

可以看到有一个flagg文件,试着读取:

得到flag。

Previous2019 RoarCTFNext2019 极客大挑战

Last updated