分析
文章目录
-
- 分析
- 绕过得flag
- php字符串解析性
- 方法2
- 打开就是一个可以实现计算功能的页面,没有利用信息
![web|[RoarCTF 2019]Easy Calc_WP](https://img.it610.com/image/info8/924ff063bf274792a496a9c18cbec44e.jpg)
文章图片
- 查看源码
![web|[RoarCTF 2019]Easy Calc_WP](https://img.it610.com/image/info8/100e5190507544f380f4100595ef0927.jpg)
文章图片
- 发现了一个新的链接calc.php,以及设置waf的提示
- 进入calc.php
- 得到一串PHP代码,过滤了一大堆,明显是要绕过的
![web|[RoarCTF 2019]Easy Calc_WP](https://img.it610.com/image/info8/5e6683c5aab744dbb66ae58eb6ca4926.jpg)
文章图片
- 经过尝试,只有url栏输入字母时不会正常回显
![web|[RoarCTF 2019]Easy Calc_WP](https://img.it610.com/image/info8/5e30bc8f21324c5d847bb49aa52b25a0.jpg)
文章图片
![web|[RoarCTF 2019]Easy Calc_WP](https://img.it610.com/image/info8/aa687b4973fe4b4bb55cd3e69c6888da.jpg)
文章图片
- 这块便需要用php字符串的解析性来绕过
? num=1; var_dump(scandir(chr(47)))![web|[RoarCTF 2019]Easy Calc_WP](https://img.it610.com/image/info8/deee7eb9e82f455794b08509c01a1fa8.jpg)
文章图片
? num=1; var_dump(file_get_contents(chr(47).chr(102).chr(49).chr(97).chr(103).chr(103)))![web|[RoarCTF 2019]Easy Calc_WP](https://img.it610.com/image/info8/045249e181a444349b9f6aa35cc8cf42.jpg)
文章图片
%20num 在url栏传入时变量名此时为“ num”,那么“num”变量为空,故在此题中会进入到后续else的语句
方法2 【web|[RoarCTF 2019]Easy Calc_WP】http走私攻击
![web|[RoarCTF 2019]Easy Calc_WP](https://img.it610.com/image/info8/6271accf86404ff080589ec66eeed5ff.jpg)
文章图片
推荐阅读
- CTF日记|[GXYCTF2019]BabySQli
- CTF日记|[BJDCTF2020]EzPHP&DASCTF-sep:hellounser
- php|php 怎么使用 composer,php composer 使用
- 安全漏洞|pikachu,DVWA靶场本地搭建
- 比赛wp|[SCTF2021]Upload_it_1复现闭包组件反序列化rce
- 比赛wp|[VNCTF2022]部分wp
- 代码审计|[代码审计]ThinkPHP 5.0.x 变量覆盖导致的RCE分析
- 代码审计|[代码审计]yii2 反序列化漏洞分析
- 进阶PHP月薪30k|PHP+Mysql如何实现数据库增删改查