[RoarCTF 2019]Easy Calc-3.23BUUCTF练习day5(2)

[RoarCTF 2019]Easy Calc-3.23BUUCTF练习day5(2)

解题过程

查看源码
发现calc.php页面，访问一下

分析代码

首先获取$_GET['num']的值并赋给变量$str。然后定义了一个黑名单数组$blacklist，包含了一系列被禁止的字符或转义字符，如空格、制表符、换行符、单引号、双引号、反引号、方括号、美元符号、反斜杠和脱字符号

接下来是一个foreach循环，遍历黑名单中的每一个元素。对于每个被禁止的字符$blackitem，使用preg_match函数和正则表达式来检查$str中是否包含该字符。正则表达式中的/m修饰符表示多行模式，如果发现任何黑名单中的字符存在，就会调用die("what are you want to do?");终止脚本执行，并显示提示信息

如果通过了所有黑名单检查，最后一行代码是eval('echo '.$str.';');，这里将输入的$str拼接到echo语句中，并通过eval()函数执行

思路

通过多次尝试，发现一输入字符，就会被禁止访问
而输入数字，却可以正常回显
那么想起刚刚查看源码信息却没有使用的waf防火墙，应该是waf的原因不能输入字符
用于我们需要输入字符构造命令，所以必须想要绕过waf

PHP字符串解析特性绕过WAF
PHP需要将所有参数转换为有效变量名，因此在解析查询字符串时，它会做两件事：1，删除空白字符；2，将某些字符转换为下划线（包括空格）
因为num不可以传入字母，但是我们在num参数之前添加一个空格(? num=)，这样在PHP的语言特性下会默认删除这个空格，但是WAF会因为这个空格导致检测不到num这个参数，最终导致WAF被绕过。

绕过了waf，那么就剩下构造payload找出flag了
在此过程中需要三个函数

• scandir()列出 参数目录 中的文件和目录，从而找到flag在哪里
• var_dump()输出一个或多个表达式的结构信息，包括表达式的类型与值（反正输出的信息很详细）
• file_get_contents()输出文件的具体内容，把整个文件读入一个字符串中，确实也可以用include()函数绕过

步骤

在刚刚的代码中知道过滤了/（反斜杠）需要使用chr绕过（chr是什么？chr()里头是1-255的整数数字，其是对应ascii码值。也就是说chr(47)也就是等价于 /）
payload是? num=var_dump(scandir(chr(47)))
列出根目录下所有信息
找到flag的具体名称f1agg
payload是? num=var_dump(file_get_contents(chr(47).chr(102).chr(49).chr(97).chr(103).chr(103)))也就是？num=var_dump(file_get_concents(/f1agg))其中.是PHP中的字符拼接符号，目的将/f1agg拼接起来