考点:php字符串解析漏洞,waf防护方式,php函数的应用
打开靶机,发现是个计算机,输入数字不报错,但如果输入字母:
不返回东西了,不过通过f12可以发现一些信息:
从源码可知,
查看一下calc.php,发现源码:
这里我抓包了,直接在网页传cala.php也能看到源码,分析源码,过滤了很多符号。
WAF防护:
简单来说waf就是防火墙,用来保护网页信息,它对其中一种恶意注入方式sql注入的防护方式如下:
我们尝试给num传参的时候发现只能传数字但不能传字母,那flag肯定无法读取,这个时候有没有发现waf运用了2,加黑部分的防护方法,严格把控输入变量的类型,那我们利用php字符串解析漏洞来强行绕过waf的防护规则。
php字符串解析漏洞:
我们知道PHP将查询字符串(在URL或正文中)转换为内部$_GET或的关联数组$_POST。例如:/?foo=bar变成Array([foo] => "bar")。值得注意的是,查询字符串在解析的过程中会将某些字符删除或用下划线代替。例如,/?%20news[id%00=42会转换为Array([news_id] => 42)。如果一个IDS/IPS或WAF中有一条规则是当news_id参数的值是一个非数字的值则拦截,那么我们就可以用以下语句绕过:
/news.php?%20news[id%00=42"+AND+1=0--上述PHP语句的参数%20news[id%00的值将存储到$_GET["news_id"]中。
HP需要将所有参数转换为有效的变量名,因此在解析查询字符串时,它会做两件事:
---摘自大佬博客,讲的超级好,我就不班门弄斧辽利用PHP的字符串解析特性Bypass - FreeBuf网络安全行业门户
不过解释一下这里的做法吧,我们直接传num会被waf检测,那就在num前加空格:" num"(这里有空格),这样waf就找不到num这个变量了,现在的变量叫“ num”,而不是“num”,但php在解析的时候会先把空格给去掉,这样源码依然正常运行,还上传了非法字符。
这样就能输入字母了,不过因为之前我们查看源码发现很多符号被过滤,比如我们想利用/来进入根目录,但“/”被过滤了,我们无法正常访问,这个时候,用到php函数的利用:
查看根目录,/对应的ASCII码为47,所以构造:
发现:
得到flag
拓展:
ASCII码对应值:
