继续上一篇securityoverridehacking challenge 解题思路汇总的工作,这次把Advanced给弄完了。这当中主要涉及到了关于php的一些攻击方法,可以以此为基础做一个深入的了解。
利用PHP中==的跨类型比较而产生的漏洞。最终目的是要$input=="0000". 这个好办,php中,任何数字型字符串最终都会转化为数字去做比较,所以input可以是任意个0。不过Filter最后加了个正则判断preg_match("/^[\d]{1,}$/D", $input)。意思就是不能为纯数字。也比较简单,利用0的特性嘛(小学知识:0等于0的负数),于是输入-0就好了。
PS: 关于php的弱类判断法则 http://php.net/manual/en/types.comparisons.php
考察能否在混淆的前提下整理出代码逻辑。这题没有什么快捷方法,手动清理。清除注释和分号后代码量其实不多,然后把一些该解码的解码,函数该返回的直接替换,就能把代码逻辑理清楚了。整理完毕后代码逻辑如下:
<?php
session_start();
$_u=array();
$_u[0]=‘SERVER_ADDQUERY_STRINGREQUEST_METHODHTTP_ACCEPT‘; //一个字符串
$_u[1]=‘substr‘; // substr函数
$_u[2]=‘base64_decode‘; // decode方法
$_§§§§§§§ =preg_split(‘/(?!\\##\$\$\$uu)=/‘,_SERVER[‘QUERY_STRING‘]); // 可以简单理解为按=分割
${"_g_1"} = urldecode($_§§§§§§§[0]); // key
${"_g_2"} = _GET[${"_g_1"}]; // value
if(LEVENSHTEIN(${"_g_1"},${"_g_2"})==0){// 参数的key和value必须一样
validate_result(${"_g_2"});
};
function validate_result($result){ // value = phpinfo(); 则成功(必须要分号)
if($result === ‘phpinfo();‘){
$_SESSION["solved_advanced_2"] = true;
header("Location:./");
}
}
echo "Good luck. <a href=‘./‘>Back to thechallenges main page.</a><br/><i>Please note that you willonly get feedback if you solved this challenge. Wrong attempts do not generateany output at all.</i><hr/>";
highlight_file(‘code.php‘);
?>
之后就很简单了,构造一个符合要求的url即可。
要求你bypass过滤程序,上传一个php脚本。常规思路:1 直接上传.php文件(失败)。2 上传.php文件,但是修改post内容中的contentType为image/jpg(失败)。3 上传正常jpg文件,隐藏php脚本(Linux命令cattest.php>>image.jpg或者使用工具来添加注释,尽量保证图片简单或纯色,以免某些图片字符干扰php解析)。通过第三步,这个问题就解决了。
接下来还研究了一下怎么执行jpg中的php脚本这个问题,在查阅资料以及自己试验后,基本只有这两种方法比较可行:
· 在另一个php文件中includeu或者require这个jpg文件
<?php
include(‘images/‘ . $_GET[‘test.jpg‘]);
require(‘images/‘ . $_GET[‘test.jpg‘]);
include(‘images/‘ . $_POST[‘test.jpg‘]);
include(‘images/‘ . $_POST[‘test.jpg‘]);
include(‘test.jpg‘);
require(‘test.jpg‘);
?>
· 在/etc/apache2/mods-available/php5.conf中设置jpg格式的解释器为php
<FilesMatch ".jpeg">
SetHandler application/x-httpd-php
</FilesMatch>
修改.htaccess原理一样(简单尝试了一下,没有成功)
既然题目中已经提到了存在local file inclusiong这个漏洞的存在,那么想利用第一种方法执行php脚本就很简单了,大致是利用注入的方法去控制include或者require中的变量,使得脚本执行。
好吧,3.3的研究起到作用了,3.4就是要求执行已上传的文件(文件路径在3.3上传成功的时候已给出,我的是/challenges/advanced/uploads/Ac3sk9j.jpg,不知道是不是大家都一样)。3.3中已经提到了,php中如果有include或者require等函数,就可以被用来执行jpg中的php代码。进入3.4,观察后发现url带有参数page,尝试随意修改,果然给出了错误提示:test.phpcannot be found。那么目标就很明确了,修改page参数,将路径指定到jpg文件。利用路径中,..代表上一级文件夹,很容易写出相对路径来../uploads/Ac3sk9j.jpg。尝试请求,结果为:uploads/Ac3sk9j.jpg.phpcannot be found。有两点不如人意:1)../给过滤掉了;2)文件名为Ac3sk9j.jpg.php而不是Ac3sk9j.jpg。于是分别寻找解决方法:
· 对于某种特定字符串被过滤的情况,最简单的就是string replace了。对应的破解方法很简单,拼凑类似aabb的字符串就好了。中间的ab在被过滤后,就会生成新的ab了。这里写成….//就可以了。所以stringreplace的过滤方法和没有是一样的。
· .php后缀问题。显然网站对任何请求路径都加了.php后缀。Google了一下绕过策略,主要有两种:1)利用文件路径最大长度4096bytes,然后通过添加任意个/.来构造超长的文件路径。想了想,这么长的url估计直接会被服务器拦截返回414,于是就没有尝试了;2)利用C中字符串终止符,在.php之前加入终止符,表示截断。比较普遍都是拿%00举例,不过尝试了一下没成功。后来在某个示例中查到了\0,就成功了。
这道题到这里也就成功了。在查找资料的过程中,对LocalFile Inclusion的漏洞又学到了一点新东西。在如何写入某个带脚本的文件上,除了直接的上传文件外,也可以利用服务器将用户信息输入到文件的过程,写入某个脚本。例如,服务器可能会记录访问请求的UserAgent(/proc/self/environ),url(access.log),或者登录的用户名密码等到一个log文件中,而这些信息都是可以被攻击者控制的(UserAgent和url似乎默认都是会被Apache服务器记录的,路径已经写出,当然,根据配置不同,路径可能变化)。所以这种情况下,只需要修改对应的值,向服务器发起请求,php脚本就已经被写入到服务器某个文件中了,接下来就只需要执行就好了。
版权声明:本文为博主原创文章,未经博主允许不得转载。
securityoverridehacking challenge 解题思路汇总——Advanced
原文地址:http://blog.csdn.net/hwz2311245/article/details/47265193
