[RoarCTF 2019]Easy Calc1
访问地址,尝试会不会存在sql注入
看情况不是,真是想多了hhh。。。
尝试是否存在xss漏洞
查看源代码,发现calc.php
content的含义
-
$("#content")是一个jQuery选择器,表示选择页面中id="content"的HTML元素。 -
.val()方法用于获取该元素的值(用户输入的内容)。 -
content:页面中用户输入计算表达式的文本框的ID,通过$("#content").val()获取其值。
访问calc.php
发现有些符号被过滤,且get传入num才是我们要的目标
构造payload,num输入什么,页面就显示什么
不管是查看源代码还是啥都没给我们任何flag的提示,所以想试试system ls /,魔怔了😂
结果403
改成? num=system('ls'),虽然不是403错误,但应该是被过滤了
看网上解释“在num前加个空格可以绕过waf并且php会把它当成正常的num使用,此时并不是’ num’而是‘num’。”,采用scandir()
scandir():列出 参数目录 中的文件和目录
首先要先扫根目录下的所有文件,chr(47)是/的ASCII编码,因为/被过滤了,所以我们用chr(47)绕过
在PHP中,file_get_contents() 函数是一个强大的工具,它既可以用于读取本地文件的内容,也可以用于发起 HTTP 请求获取远程资源,/的编码chr(47),1的编码chr(49),a的编码chr(97),g的编码chr(103),php中,它们之间用.连接。输入
? num=var_dump(file_get_contents(chr(47).chr(102).chr(49).chr(97).chr(103).chr(103)))