利用正则回溯最大次数上限进行绕过

最新推荐文章于 2024-07-31 19:28:03 发布
最新推荐文章于 2024-07-31 19:28:03 发布
阅读量1.6k 收藏
点赞数 1
CC 4.0 BY-SA版权
分类专栏: ctfweb php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/u013457794/article/details/89010253
本文分析了源码中关于文件上传的正则验证,该正则要求字符串以特定方式开始,并允许任意字符。讨论了PHP的PCRE回溯次数限制,指出当回溯次数超过默认的100万次时,`preg_match`会返回`false`。作者提出通过构造特定输入,可以绕过正则验证并实现远程代码执行(RCE)。参考了PHP回溯次数限制的利用方法,并给出了一个构造RCE脚本的示例,最终获取到flag。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

  1. 源码:

     <?php
 function is_php($data){
     return preg_match('/<\?.*[(`;?>].*/is', $data);
 }
 
 if(empty($_FILES)) {
     die(show_source(__FILE__));
 }
 
 $user_dir = 'data/' . md5($_SERVER['REMOTE_ADDR']);
 $data = file_get_contents($_FILES['file']['tmp_name']);
 if (is_php($data)) {
     echo "bad request";
 } else {
     @mkdir($user_dir, 0755);
     $path = $user_dir . '/' . random_int(0, 10) . '.php';
     move_uploaded_file($_FILES['file']['tmp_name'], $path);
 
     header("Location: $path", true, 303);
 }

    通过对源码分析,可知要求上传文件,且文件内容要通过正则且能RCE

  2. 正则:/<\?.*[(`;?>].*/is

    指匹配<?开头的中间出现[(`;?>]任一字符的不区分大小写的,无视换行符的字符串。即针对<?php ;<?php ?>等语句。

  3. 如何绕过正则且能RCE呢?
    Rerference: PHP利用PCRE回溯次数限制绕过某些安全限制

    PHP 为了防止正则表达式的拒绝服务攻击(reDOS

最低0.47元/天 解锁文章

200万优质内容无限畅学
PHP正则回溯溢出绕过
shiyingai
09-22 538
PHP正则绕过案例代码分析EXP 案例代码 <?php function is_php($data){ return preg_match('/<\?.*[(`;?>].*/is',$data); } if(empty($_FILES)) { die(show_source(__FILE__)) ; } $user_dir = './data/'; $data = file_get_contents($_FIL
python正则表达式与回溯绕过waf
好好睡觉
01-13 1369
python正则表达式、正则表达式示例、正则限定密码、正则断言、正则回溯绕过
正则表达式的回溯绕过
m0_63521991的博客
08-05 970
正则表达式的回溯绕过是指通过构造恶意输入,使得正则表达式引擎在匹配字符串时产生大量回溯操作,从而导致性能下降甚至造成拒绝服务(DoS)攻击。由于模式中的量词(例如星号*、加号+、问号?、花括号{}等)使得可能有多种不同的匹配方式,导致引擎需要尝试不同的组合,直到找到匹配的结果。这种尝试的过程就称为回溯回溯操作会导致时间复杂度呈指数级增长,对于复杂的正则表达式和长字符串,性能损失会非常明显。
利用回溯绕过正则表达式
qq_68163788的博客
11-17 2781
回溯是一种在正则表达式匹配中使用的技术,它允许在匹配过程中尝试不同的选择。在某些情况下,回溯可能会导致性能问题或安全漏洞,因此需要绕过正则表达式中的回溯。使用非贪婪匹配:在正则表达式中使用非贪婪匹配符号(例如“?”、“*?”、“+?”)可以减少回溯次数,使用原子组:原子组是一组被视为单个字符的子模式。使用原子组可以减少回溯次数,因为正则表达式引擎只需要尝试一次匹配。使用前瞻和后顾:前瞻和后顾是一种高级匹配技术,可以在不回溯的情况下匹配特定的模式。它们可以帮助减少回溯次数。避免使用“.”
sql注入绕过正则表达式匹配和回溯机制
weixin_54246834的博客
07-23 1037
有限状态自动机”,其拥有有限数量的状态,每个状态可以迁移到零个或多个状态,输入字串决定执行哪个状态的迁移。而常见的正则引擎,又被细分为DFA(确定性有限状态自动机)与NFA(非确定性有限状态自动机)。他们匹配输入的过程分别是DFA从起始状态开始,一个字符一个字符地读取输入串,并根据正则来一步步确定至下一个转移状态,直到匹配不上或走完整个输入NFA从起始状态开始,一个字符一个字符地读取输入串,并与正则表达式进行匹配,如果匹配不上,则进行回溯,尝试其他状态。...
preg_match函数,正则匹配绕过
热门推荐
SsMing的博客
12-27 1万+
以ichunqiu欢乐赛为例子 1.通过.swp 文件恢复出php脚本 vi index.php.swp recover 2.第一关源码为 &lt;?php function areyouok($greeting){    return preg_match('/Merry.*Christmas/is',$greeting); } $greeting=@$_POST['greetin...
PHP利用PCRE回溯次数限制绕过某些安全限制
最新发布
weixin_73399382的博客
07-31 128
由于NFA的执行过程存在回溯,所以其性能会劣于DFA,但它支持更多功能。我们通过发送超长字符串的方式,使正则执行失败,最后绕过目标对PHP语言的限制。“有限状态自动机”,其拥有有限数量的状态,每个状态可以迁移到零个或多个状态,输入字串决定执行哪个状态的迁移。那么,假设我们的回溯次数超过了100万,会出现什么现象呢?大意是判断一下用户输入的内容有没有PHP代码,如果没有,则写入文件。,这个结果满足正则表达式的要求,于是不再回溯。在NFA中,如果我输入。可以匹配任何字符,所以最终匹配到了输入串的结尾,也就是。
php pcre回溯攻击,PHP利用PCRE回溯次数限制绕过某些安全限制
weixin_32236881的博客
03-29 324
这次 Code-Breaking Puzzles 中我出了一道看似很简单的题目pcrewaf,将其代码简化如下:].*/is',$data);}if(!is_php($input)){//fwrite($f,$input);...}大意是判断一下用户输入的内容有没有 PHP 代码,如果没有,则写入文件。这种时候,如何绕过 is_php() 函数来写入 webshel...
正则表达式的回溯机制
bkcnl的博客
06-28 1209
正则表达式的引擎分析 正则表达式的引擎有两个特点: 1.默认情况下都是贪婪匹配。 2.引擎总是着急的,会返回最先匹配到结果 正则引擎的工作原理举例: 当把cat应用到“He captured a catfish for his cat”,引擎先比较c和“H”,结果失败了。于是引擎再比较c和“e”,也失败了。直到第四个字符,c匹配了“c”。a匹配了第五个字符。到第六个字符t没能
利用正则回溯最大次数上限绕过preg_match
yourdawntown的博客
09-29 2109
1. 没有回溯的匹配 假设我们的正则是/ab{1,3}c/,其可视化形式是: 而当目标字符串是"abbbc"时,就没有所谓的“回溯”。其匹配过程是: 其中子表达式b{1,3}表示“b”字符连续出现1到3次。 2. 有回溯的匹配 如果目标字符串是"abbc",中间就有回溯。 图中第5步有红颜色,表示匹配不成功。此时b{1,3}已经匹配到了2个字符“b”,准备尝试第三个时,结果发现接下来的字符是“c”。那么就认为b{1,3}就已经匹配完毕。然后状态又回到之前的状态(即第6步,..
贪婪模式、懒惰模式、独占模式一网打尽,分享一个正则回溯分析工具
xmt1139057136的专栏
06-25 811
昨天,群里一位网友在学习正则表达式。提到了正则表达式三种模式:贪婪模式、懒惰模式、独占模式。然后大家就一起讨论起来了,一发不可收拾。最后大家总结出了一个表格,如下所示:根...
以下表达式x_正则表达式所引发的DoS攻击(Redos)
weixin_39907658的博客
12-18 1334
正则表达式(或正则表达式)基本上是搜索模式。例如,表达式[cb]at将匹配cat和bat。这篇文章不是介绍一个正则表达式的教程,如果你对正则表达式了解不多,可在阅读之前点击https://medium.com/factory-mind/regex-tutorial-a-simple-cheatsheet-by-examples-649dc1c3f285了解。首先,让我们介绍一些重点知识。重复运算符...
过拟合与欠拟合原因及解决办法、正则化类别、维灾难、正则化线性模型、岭回归、Lasso 回归、Elastic Net (弹性网络)、岭回归函数及案例使用、sklearn模型的保存和加载
我的个人博客
12-11 7585
有一系列猫和狗的图片,通过对猫和狗用一些描述性特征如颜色等构造一个分类器对其进行分类,单个颜色特征可能无法得到一个准确的分类器,需加入一些其他特征,随着特征的增加,分类器性能随之增加,即分类准确率更高,但当特征数量达到一定规模后,分类器性能是下降的。线性回归进行训练学习的时候模型会变得复杂,这里就对应前面再说的线性回归的两种关系,非线性关系的数据,也就是存在很多无用的特征或者现实中的事物特征跟目标值的关系并不是简单的线性关系。随着维度的增加,分类器性能逐步上升,到达某点之后,其性能便逐渐下降。
正则表达式——通过实例掌握分组和回溯引用
weixin_33890526的博客
12-16 232
所谓分组,就是把要匹配的内容放在括号()里。括号里的内容可以视为是一个整体的子表达式。 所谓回溯引用,就是引用之前匹配的内容,可以把回溯引用想象成一个变量。 具体看几个例子就会明白。如下的文字 &lt;ul&gt; &lt;li&gt;&lt;a class="app01"&gt;航班查询&lt;/a&gt;&lt;/li&gt; &lt;li&gt;&lt
关于正则位置匹配(断言)的技巧
包磊磊的博客
05-12 592
正则位置匹配 先了解下以下几个概念 零宽:只匹配位置,在匹配过程中,不占用字符,所以被称为零宽 先行:正则引擎在扫描字符的时候,从左往右扫描,匹配扫描指针未扫描过的字符,先于指针,故称先行 后行:匹配指针已扫描过的字符,后于指针到达该字符,故称后行,即产生回溯 正向:即匹配括号中的表达式 负向:不匹配括号中的表达式 es5 就支持了先行断言 es2018 才支持后行断言 零宽正向先行断言,又称正向向前查找(positive lookhead)
java 正则 动词_正则表达式 – 在回溯和失败后起作用的动词
weixin_34732336的博客
03-02 158
在阅读此答案之前,您应该熟悉回溯,原子组和占有量词的机制。您可以在Friedl书中找到有关这些概念和功能的信息,并遵循以下链接:www.regular-expressions.info,www.rexegg.com所有测试都是通过全局搜索(使用preg_match_all()函数进行的)。(*失败)baabo caaco daadocaac(*FAIL)|aa.|caaco|co[0] =>...
我学正则表达式——组(group)和回溯引用(backreference)
Paul_Huang的Footprint
08-14 4189
靓号的选择 人怕不动,脑怕不用。 一觉醒来,漫步到公司之后。项目经理又交来一个任务: “公司最近打算升级号码管理,针对VIP客户推出靓号服务,暂定靓号为6位,尾数AAAA的为靓号,比如118888是靓号。” 这个任务太简单了,不就是从0到9一直循环嘛,从000000-009999,选取后四位相同的号码输出。 用9个正则表达式: \d{2}0{4}
由Java正则表达式的灾难性回溯引发的高CPU异常:java.util.regex.Pattern$Loop.match
不积跬步,无以至千里
10-11 2944
问题与分析 某天领导report了一个问题:线上的CPU自从上一个版本迭代后就一直处于居高不下的状况,领导看着这段时间的曲线图判断是有两条线程在不停的死循环。 接到任务后去查看了AWS的CloudWatch,发现线上CPU确实一直居高不下,使用率基本是之前的两倍;另外发现线程使用率以比之前频繁很多。后来公司的大佬拿到dump后经过分析发现,是由正则表达式造成的CPU持续高使用率的问题。 堆栈信息如...
变步长正则回溯SAMP算法在压缩感知重构中的应用
SAMP-RB算法在原子选择阶段利用回溯策略以优化重构过程,从而提高重构质量和效率。然而,该算法固定不变的步长设定可能导致在不同残差情况下重构效果不佳。 为解决这一问题,研究者提出了一个新的变步长策略,即...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值