通过一道题目带你深入了解WAF特性、PHP超级打印函数、ASCII码chr()对应表等原理[RoarCTF 2019]Easy Calc 1

2023-11-10 10:09:20 浏览数 (2)

题目环境:

依此输入以下内容并查看回显结果 1 1 1’ index.php ls

到这里没思路了

F12查看源代码

一定要仔细看啊,差点没找到,笑哭

访问calc.php文件

果然有点东西

PHP代码审计

error_reporting(0);关闭错误报告 通过GET方式传参的参数num show_source函数将文件内容显示出来 参数num的值赋值给变量str 创建一个了名为blacklist的数组,该数组包含一系列字符,这些字符被认为是需要从目标字符串中排除的“非法”或“危险”字符。这些字符包括空格、制表符(‘t’)、回车(‘r’)、换行(‘n’)、单引号(‘’‘)、双引号(")、反引号(`)、左方括号(’[‘)、右方括号(’]‘)、美元符号(’KaTeX parse error: Expected group after '^' at position 17: …)、反斜杠('')和尖括号('^̲') 使用foreach循环遍…blackitem。 在每次循环中,使用preg_match函数检查目标字符串

str是否包含当前的黑名单项(即

blackitem)。正则表达式’/’ .

blackitem . '/m'用于匹配任何与当前黑名单项相匹配的字符。这里的/m是正则表达式的标记,表示多行模式。在这种模式下,^和

分别匹配每一行的开始和结束,而不仅仅是整个字符串的开始和结束。 如果在目标字符串中找到任何黑名单字符,即preg_match函数返回true,那么程序将立即停止执行,并输出“what are you want to do?”。 最后,这段代码结束foreach循环。

过滤内容:

  • 空格
  • 制表符(‘t’)
  • 回车(‘r’)
  • 换行(‘n’)
  • 单引号(‘’')
  • 双引号(")
  • 反引号(`)
  • 左方括号(‘[’)
  • 右方括号(‘]’)
  • 美元符号(‘$’)
  • 反斜杠(‘’)
  • 尖括号(‘^’)

通过给参数num传参(数字和字母)进一步判断

?num=1 ?num=a

正常回显:

回显报错:

F12网页源代码是否忽略一些东西?

提示存在WAF检测,猜测后台还存在一些过滤

空格绕过WAF检测的原理

一些攻击者可能会尝试利用WAF(Web Application Firewall)的特性,通过在恶意请求中插入特定的字符或字符串来绕过WAF的检测。其中一种常见的方法是使用URL编码或转义字符来绕过WAF。 当攻击者使用空格字符时,WAF通常会将其视为无效字符而将其过滤掉。然而,攻击者可以使用URL编码或转义字符来将空格字符编码为有效的URL编码字符。 例如,使用URL编码,空格可以被编码为" "。攻击者可以在恶意请求中使用这个编码后的空格字符来绕过WAF的过滤。 当WAF接收到包含URL编码空格的请求时,它可能会将其解释为有效的URL编码字符,而不是一个空格字符。这样,攻击者就可以在请求中插入有效的URL编码字符,从而绕过WAF的过滤。 需要注意的是,这种方法并不是所有WAF都有效,因为不同的WAF可能会有不同的特性和行为。此外,攻击者还需要了解目标WAF的特性和行为,以便选择合适的方法来绕过其检测。

使用空格绕过WAF检测

? num=a

成功绕过WAF检测

查看此题目环境的一些配置信息

phpinfo()是PHP编程语言的内置函数,用来查询PHP相关配置和重要信息等等

? num=phpinfo()

disable_functions是PHP内置的一个设置选项,类似于黑名单,用来禁用危险函数、命令、关键字等等,用来提高网站和WAF的安全性 **从红框那里可以看到过滤了很多命令执行函数,比如:**passthru、exec、system等等

从这里看的话命令执行是行不通了,既然phpinfo()可以打通,那咱们就用PHP内置输出函数来获取flag值

PHP的输出函数有:

  1. echo()可输出字符串
  2. print()、print_r()、printf()、sprintf()、var_dump()可输出变量的内容、类型或字符串的内容、类型、长度等
  3. die()输出内容并退出程序

经过测试只有print_r()函数和var_dump()函数可以输出内容

靠这些还远远不够

还需要用到两个函数和一个方法 scandir() 函数返回指定目录中的文件和目录的数组,类似于Linux里面的“ls”命令。 file_get_contents() 函数把整个文件读入一个字符串中。 字符串转ASCII码chr()对应表

为什么PHP可以识别ASCII码chr()对应表?

PHP可以识别ASCII码chr()对应表,是因为PHP是一种通用的服务器端脚本语言,它可以处理文本数据。ASCII码是一种7位无符号整数编码系统,它使用数字0-127来表示所有的字符、数字和标点符号等。在PHP中,chr()函数可以将ASCII码转换为相应的字符。因此,在编写PHP程序时,我们可以使用chr()函数将ASCII码转换为相应的字符,以便在程序中使用它们。

更详细内容可以参考我这篇文章https://blog.csdn.net/m0_73734159/article/details/133854073?spm=1001.2014.3001.5502

查看根目录下的所有文件(print_r和var_dump两种方法对比参考) ? num=print_r(scandir(chr(47)))

? num=var_dump(scandir(chr(47)))

发现f1agg文件 探测f1agg文件内容

根目录下的f1agg文件对应ASCII码chr()对应表依次是

  • / => chr(47)
  • f => chr(102)
  • 1=> chr(49)
  • a => chr(97)
  • g => chr(103)
  • g => chr(103)

使用连接符"."进行连接:

/f1agg => chr(47).chr(102).chr(49).chr(97).chr(103).chr(103)

? num=print_r(file_get_contents(chr(47).chr(102).chr(49).chr(97).chr(103).chr(103)))

? num=var_dump(file_get_contents(chr(47).chr(102).chr(49).chr(97).chr(103).chr(103)))

这两个函数不同回显结果,大同小异,大家可以对比进行深入了解这两个打印函数

得到flag: flag{fc4b0414-1e6c-4391-89d8-c5f1dfe3e0dd}

0 人点赞