启动靶机,查看网页源码,发现关键字
$("#content").val() 是什么意思:
获取id为content的HTML标签元素的值,是JQuery, ("#content")相当于document.getElementById("content");
("#content").val()相当于 document.getElementById("content").value;
多次尝试找不到思路,看了大佬的wp发现是被waf拦截了
payload:http://node3.buuoj.cn:29279/calc.php?%20num=var_dump(scandir(chr(47)))
在num前加一个空格符来绕过waf拦截
原因:假如waf不允许num变量传递字母,可以在num前加个空格,这样waf就找不到num这个变量了,因为现在的变量叫“ num”,而不是“num”。但php在解析的时候,会先把空格给去掉,这样我们的代码还能正常运行,还上传了非法字符。
发现根目录存在f1agg
同理查看该文件内容
payload:http://node3.buuoj.cn:29279/calc.php?%20num=var_dump(file_get_contents(chr(47).chr(102).chr(49).chr(97).chr(103).chr(103)))
成功拿到flag
补充:
1、PHP的字符串解析特性是什么?
答: PHP需要将所有参数转换为有效的变量名,因此在解析查询字符串时,它会做两件事:1.删除空白符 2.将某些字符转换为下划线(包括空格)【当waf不让你过的时候,php却可以让你过】
2、发现过滤怎么办?
答:用char()转ascii再进行拼接
3、尽量多的积累一些PHP函数,在关键时刻可以利用