看这个输入框,所以我猜测可能是sql注入,弹出了一个对话框,说算不来,说明可能存在过滤
最后发现只要传入字母都会触发弹窗,应该跟题目设定有关系,这只是一个简单的计算器而已
查看了一下源码,发现有一个传参,访问一下calc.php文件
访问后得到一串php源码
首先建立了一个黑名单列表,然后是一个foreach循环,用于遍历$blacklist数组中的每个元素。
在循环中,blackitem变量被赋值为blacklist数组中的当前元素。然后,循环体内的代码会执行,可以对$blackitem进行任何操作。
所以这段代码的作用是遍历黑名单数组,检查用户输入的$num是否包含在黑名单中的任何项。
如果str中没有匹配到黑名单中的任何项,它会使用eval()函数对str作为PHP代码执行,并将结果输出。
所以我这道题的思路就是利用num传参绕过黑名单,造成任意代码执行
但是这里要引入一个php函数,scandir() 函数
所以我们这里构造/?num=var_dump(scanfir ('/'));
但是直接说我没有权限访问
查看了wp得知可以利用php字符串的特性,因为本题是不允许传入字符的
我们在传参时在num前加入空格,这样本题的waf就找不到num这个变量了,因为现在的变量叫“ num”,而不是“num”。但php在解析的时候,会先把空格给去掉,这样我们的代码还能正常运行
成功造成回显,但是因为黑名单是将/和单引号过滤掉的,所以我们可以使用chr函数将ascii代替注入的字符/
因为我们不需要查看文件类型,所以还是换成print_r(scandir(chr(47)));
然后在回显中可以看见一个与flag相关的文件f1agg
那在php中读取指定文件,还要学习到一个file_get_contents() 函数
最后将file_get_contents() 函数指定的路径,利用chr住哪换后利用.拼接字符串就好
scandir() 函数
返回指定目录中的文件和目录的数组。
语法:
scandir(directory,sorting_order)
参数 | 描述 |
directory | 必需。规定要扫描的目录。 |
sorting_order | 可选。规定排列顺序。默认是 0,表示按字母升序排列。如果设置为 SCANDIR_SORT_DESCENDING 或者 1,则表示按字母降序排列。如果设置为 SCANDIR_SORT_NONE,则返回未排列的结果。 |
file_get_contents() 函数
file_get_contents() 把整个文件读入一个字符串中。
该函数是用于把文件的内容读入到一个字符串中的首选方法。如果服务器操作系统支持,还会使用内存映射技术来增强性能。
语法:
file_get_contents(path)
