web：[RoarCTF 2019]Easy Calc

题目

进入页面是一个计算器的页面

随便试了一下

查看源代码看看有什么有用的信息

访问一下这个calc.php

进行代码审计

这里利用到了php的字符串解析特性，还有两个函数scandir()和var_dump()函数

由上述代码审计可知，拦截了“/”，可以尝试使用chr来绕过黑名单

这里chr()是1-255的整数数字，对应的是ascii值，chr(47)等价于“/”

构造payload

/calc.php?%20num=var_dump(scandir(chr(47)))

可得

知道了文件名为f1agg

构造payload

/calc.php?%20num=var_dump(include(chr(47).chr(102).chr(49).chr(97).chr(103).chr(103)))

得到flag

 

总结

1.php的字符串解析特性

我们知道PHP将查询字符串（在URL或正文中）转换为内部GET或的关联数组_POST。例如：/?foo=bar变成Array([foo]=> “bar”)。值得注意的是，查询字符串在解析的过程中会将某些字符删除或用下划线代替。例如，/?%20news[id%00=42会转换为Array([news_id]=> 42)

2.scandir()函数

3.var_dump()函数

参考文章链接：

[复现] [RoarCTF 2019]Easy Calc-腾讯云开发者社区-腾讯云