嘶吼CTF easy calc

进入之后可以看到我们需要输入一个计算式来得到答案，burpsuite进行抓包之后发现页面来自于calc.php

我们直接访问calc.php页面

发现源代码泄露

可以看到当我们没有输入num值的时候就会显示源代码，否则对输入的num进行eval命令执行，在命令执行之前有黑名单过滤。

我们需要绕过黑名单进行命令执行。

虽然是这样，但是ls不在黑名单执行里面，所以我们先ls一下

返回了403界面。

这里很可能是因为有waf设备保护着输入的参数，这里我们利用php的特性，使用php字符串解析绕过WAF。

因为防护设备检测的是num，而php需要将所有参数转换为有效的变量名，所以在解析查询字符串时，php会做两件事情:

1，删除初始空格

2，将某些字符转换成下划线（包括空格）

所以我们将传入的变量改为%20num，即空格num，故WAF不会对其进行检测，而php在处理的时候又会将其还原成num。

这样成功绕过了服务器端的WAF，紧接着我们要绕过黑名单来读取flag

使用scandir函数进行读取，查看当前目录下需要使用/符号，我们使用chr函数来绕过。

所以查看当前目录下的payload为:

?%20num=print_r(scandir(chr(47)))

可知flag在flagg文件下，于是我们使用file_get_contents()函数进行读取

payload为

?%20num=print_r(file_get_contents(chr(47).chr(102).chr(49).chr(97).chr(103).chr(103)))

flag到手

__EOF__

本文作者：春告鳥
本文链接：https://www.cnblogs.com/Cl0ud/p/12232402.html
关于博主：评论和私信会在第一时间回复。或者直接私信我。
版权声明：本博客所有文章除特别声明外，均采用 BY-NC-SA 许可协议。转载请注明出处！
声援博主：如果您觉得文章对您有帮助，可以点击文章右下角【推荐】一下。您的鼓励是博主的最大动力！