BUUCTF [RoarCTF 2019]Easy Calc 刷题题解
作者:互联网
[RoarCTF 2019]Easy Calc
进去后看源代码,发现有个calc.php,访问,是一段源码,get方法接受num参数,并且有waf对num过滤,同时后端代码也会正则表达去过滤。
waf和后端分开过滤,
也就是说可以先绕过waf,这里是对num变量的值检测,可以在num前面加上空格变成一个新的变量。
这里利用php字符串解析特性
【1】删去空格
【2】将某些字符转成下划线(包括空格)
/?%20news[id%00=42会转换为Array([news_id] => 42)
进入后端后,可以对num变量注入命令,使用php 的scandir(‘/’)函数扫描网站目录,但由于后端代码对‘/’三个符号都过滤了,所以我们使用chr()函数绕过,这个函数作用就是转换ascll码,因此playload是
? num=var_dump(scandir(chr(47)))
找到flag的位置,使用file_get_contents()函数显示文件,继续使用字符拼接绕过。
playload为
? num=var_dump(file_get_contents(chr(47).chr(102).chr(108).chr(97).chr(103).chr(103)))
flag就出来了
http走私
标签:RoarCTF,BUUCTF,get,题解,过滤,chr,num,waf,php 来源: https://www.cnblogs.com/Hankysblogs/p/15314894.html