由于对'进行过滤,可以使用chr()函数绕过,payload如下: calc.php?%20num=print_r(scandir(chr(47))) calc.php?%20num=print_r(scandir(hex2bin(dechex(47))) 接下来对文件进行读取,payload如下: calc.php?%20num=file_get_contents(chr(47).chr(102).chr(49).chr(97).chr(103).chr(103)) 即file_...
Buuctf——[RoarCTF 2019]Easy Calc 有waf,不能出现非数字参数值。使用%20num可以绕过waf(Abusing PHP query string parser to bypass IDS, IPS, and WAF (secjuice.com)) 过滤了单双引号,可以用chr()函数构造字符串 ?%20num=var_dump(scandir(chr(46))) ?%20num=show_source(chr(47).chr(102).chr(...
buuctf--easy calc信安小蚂蚁 立即播放 打开App,流畅又高清100+个相关视频 更多996 3 13:11 App buuctf--easySQL 244 -- 33:17 App buuctf---easy_tornado 206 2 11:51 App buuctf--pingpingping 226 -- 15:49 App buuctf --http 251 -- 32:01 App buuctf--check in 221 -- 4:47 ...
BUUCTF---[RoarCTF 2019]Easy Calc1 1.题目描述 2.搜索网址是一个计算器,输入正常的运算,可以运算 3.查看源码,发现有一个calc.php 4.访问calc.php,代码提示用get方式传输num参数,但是过滤了\等等。 5.构造play load,发现了一个f1agg. num=print_r(scandir(chr(47))) chr(47)是“/”的ASCII编码 scandi...
题目地址:https://buuoj.cn/challenges#[RoarCTF%202019]Easy%20Calc 查看源码 抓包发现calc.php 访问http://node3.buuoj.cn:28908/calc.php 很明显,代码执行绕过,前面源码也说了有WAF,这里绕过WAF有两种方法 在num前添加%20绕过对num的检测 HTTP走私之重复Content-Length绕过 ...
BUUCTF [RoarCTF 2019]Easy Calc 刷题题解 [RoarCTF 2019]Easy Calc 进去后看源代码,发现有个calc.php,访问,是一段源码,get方法接受num参数,并且有waf对num过滤,同时后端代码也会正则表达去过滤。 waf和后端分开过滤, 也就是说可以先绕过waf,这里是对num变量的值检测,可以在num前面加上空格变成一个新的变量...
服务器calc.php页面,盲猜waf是先get了num参数,才去做过滤等一系列参数的 那么请求到了calc.php页面进行了二次过滤 <?php error_reporting(0); if(!isset($_GET['num'])){ show_source(__FILE__); }else{ $str = $_GET['num']; $blacklist = [' ', '\t', '\r', '\n','\'', '"'...
[RoarCTF 2019]Easy Calc 首先打开是一个表达式界面。 查看源文件看看 发现有个waf,和calc.php文件,打开calc.php 发现waf的过滤规则,先试下num输出phpinfo 发现不能访问,waf拦截了num,发现利用空格绕过,php在解析时会去掉前面空格解析 前面使用isset()检测变量是否设置,直接使用var_dump来输出isset()返回值。
RoarCTF 2019 Easy Calc 这题目还真是第一次见,这道题布置了一个容器级(nginx)的waf和代码级的黑名单策略,waf过滤了所有的字母和绝大多数符号,所以第一步一定是过waf。 首先解释一下PHP的字符串解析特性 这是别人对PHP字符串解析漏洞的理解, 我们知道PHP将查询字符串(在URL或正文中)转换为内部$_GET或的关联...
14.[RoarCTF 2019]Easy Calc 访问url: http://node3.buuoj.cn:26897/ 首页如下一个计算界面: 查看页面源代码 可以看见有个url提示 calc.php?num="+encodeURIComponent($("#content").val()) 查看calc.php获取源码 http://node3.buuoj.cn:26897/calc.php ...