码迷,mamicode.com
首页 > 其他好文 > 详细

嘶吼CTF easy calc

时间:2020-01-24 18:41:02      阅读:170      评论:0      收藏:0      [点我收藏+]

标签:payload   绕过   eval   包括   src   l命令   php字符串   wordpress   源代码   

技术图片

进入之后可以看到我们需要输入一个计算式来得到答案,burpsuite进行抓包之后发现页面来自于calc.php

技术图片

我们直接访问calc.php页面

发现源代码泄露

技术图片

可以看到当我们没有输入num值的时候就会显示源代码,否则对输入的num进行eval命令执行,在命令执行之前有黑名单过滤。

我们需要绕过黑名单进行命令执行。

虽然是这样,但是ls不在黑名单执行里面,所以我们先ls一下

技术图片

返回了403界面。

这里很可能是因为有waf设备保护着输入的参数,这里我们利用php的特性,使用php字符串解析绕过WAF。

因为防护设备检测的是num,而php需要将所有参数转换为有效的变量名,所以在解析查询字符串时,php会做两件事情:

1,删除初始空格
2,将某些字符转换成下划线(包括空格)

所以我们将传入的变量改为%20num,即空格num,故WAF不会对其进行检测,而php在处理的时候又会将其还原成num。

技术图片

这样成功绕过了服务器端的WAF,紧接着我们要绕过黑名单来读取flag

技术图片

使用scandir函数进行读取,查看当前目录下需要使用/符号,我们使用chr函数来绕过。

所以查看当前目录下的payload为:

?%20num=print_r(scandir(chr(47)))

技术图片

可知flag在flagg文件下,于是我们使用file_get_contents()函数进行读取

payload为

?%20num=print_r(file_get_contents(chr(47).chr(102).chr(49).chr(97).chr(103).chr(103)))

flag到手

技术图片

嘶吼CTF easy calc

标签:payload   绕过   eval   包括   src   l命令   php字符串   wordpress   源代码   

原文地址:https://www.cnblogs.com/Cl0ud/p/12232402.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!