[RoarCTF 2019]Easy Calc

目录

1.利用php的字符串解析特性,绕过waf

绕过思路:

2.绕过引号过滤

3.函数说明

4.实操

1.得到根目录的内容

2.发现一个可疑的f1agg文件。尝试读取里面的文件内容。


1.利用php的字符串解析特性,绕过waf

绕过思路:

简单来说就是当我们通过get、post方法传递参数的时候,参数当中包含的一些特殊字符,后端在把他们存储到相应的_\[POST\]、_GET数组当中的时候会把对应的变量名进行处理,会自动去除其中的一些空白符。利用这个特性来绕过waf的检测

经过测试,我们发现不能提交任何字母,只能是数字,否则会被waf拦截

然后尝试绕过waf。他这个waf估计就是检测了变量名称为num里面的值,而这里我把变量名称改了,改成空格+num,就可以绕过了针对num变量的检测。

这里注意:只能在变量名的前面加上空格才行,在变量里面和后面都不行。

2.绕过引号过滤

他这里过滤了引号,但是没有过滤/,路径分隔符。

我们可以使用chr()函数,传入指定字符的askill码值,就可以得到对应的字符。而且得到的不仅是单个符号,还是有引号的。比如/的askill值是47,但是我们直接使用scandir(/)是会报错的,因为字符要用引号包裹,但是我们通过chr函数,通过它的askill码值得到对应的字符,和'/'是等价的。

3.函数说明

chr() --- 返回指定的字符

scandir() --- 列出指定路径中的目录内容,返回的内容是数组,包括指定路径当中的所有文件(夹)名。输出的话要使用var_dump函数、print_r函数

var_dump() --- 打印数组的相关信息

file_get_contents() --- 读取文件内容

4.实操

1.得到根目录的内容

poc:

http://node5.buuoj.cn:29957/calc.php?%20num=0;var_dump(scandir(chr(47)));

2.发现一个可疑的f1agg文件。尝试读取里面的文件内容。

首先还是和上面一样,这个文件名是字符串,还是要绕过引号的限制,使用askill值转换为对应的字符。再使用点号拼接即可。

poc

var_dump(file_get_contents(chr(47).chr(102).chr(49).chr(97).chr(103).chr(103))) 等价 var_dump(file_get_contents("/flagg"))

相关推荐
梦帮科技9 小时前
Rust+Tauri+EVM:构建下一代内存安全级数字版权(DRM)主权音频网络与跨链金融系统的技术实践与全景架构
网络·安全·架构·rust·区块链·音视频·web3.py
@insist12311 小时前
系统规划与管理师-信息安全规划概述与安全架构
安全·软考·安全架构·系统规划与管理师·软件水平考试·系统规划与管理工程师
xixixi7777721 小时前
产业全景解读:太空算力、国产芯、国产大模型、6G 空天地、AI 可信身份、后量子安全多线全面突破
人工智能·安全·ai·大模型·数据中心·通信·运营商
m0_4665252921 小时前
新品发布 | 绿盟安全智算一体机,构建“算力、调度、安全“深度融合的AI基础设施
人工智能·安全
hz5678921 小时前
内网视频会议系统建设方案:适合政企单位的安全会议选择
安全·云计算·音视频·实时音视频·信息与通信
2603_954708311 天前
全维度容错设计,打造微电网安全运行屏障
服务器·网络·数据库·人工智能·分布式·安全
冰茶丿1 天前
嵌入式安全第一关:Secure Boot是怎么保护你的设备的?
嵌入式硬件·安全
长风2301 天前
Day14: 极限异常演练 —— 验证系统韧性与错误告警生成
人工智能·安全
技术不好的崎鸣同学1 天前
Windows 命令提示符(CMD)恶意脚本分析篇
网络·windows·安全·系统安全
Sagittarius_A*1 天前
Docker:渗透前置容器化核心基础
运维·安全·docker·容器