进入之后可以看到我们需要输入一个计算式来得到答案,burpsuite进行抓包之后发现页面来自于calc.php
我们直接访问calc.php页面
发现源代码泄露
可以看到当我们没有输入num值的时候就会显示源代码,否则对输入的num进行eval命令执行,在命令执行之前有黑名单过滤。
我们需要绕过黑名单进行命令执行。
虽然是这样,但是ls不在黑名单执行里面,所以我们先ls一下
返回了403界面。
这里很可能是因为有waf设备保护着输入的参数,这里我们利用php的特性,使用php字符串解析绕过WAF。
因为防护设备检测的是num,而php需要将所有参数转换为有效的变量名,所以在解析查询字符串时,php会做两件事情:
1,删除初始空格
2,将某些字符转换成下划线(包括空格)
所以我们将传入的变量改为%20num,即空格num,故WAF不会对其进行检测,而php在处理的时候又会将其还原成num。
这样成功绕过了服务器端的WAF,紧接着我们要绕过黑名单来读取flag
使用scandir函数进行读取,查看当前目录下需要使用/符号,我们使用chr函数来绕过。
所以查看当前目录下的payload为:
?%20num=print_r(scandir(chr(47)))
可知flag在flagg文件下,于是我们使用file_get_contents()函数进行读取
payload为
?%20num=print_r(file_get_contents(chr(47).chr(102).chr(49).chr(97).chr(103).chr(103)))
flag到手