点击!AWD攻防解题技巧在此!
背景
这周,给各位带来AWD攻防源码分析。在百越杯CTF比赛中,小学弟通过抓取访问日志得到漏洞利用的方法,于是斗哥决定拿到源码,分析题目的考点,为小伙伴们排忧解难。题目可以直接利用的大致有3个漏洞,登录接口万能密码绕过、任意重置密码漏洞、上传漏洞、以及反序列化。其中有个文件包含和eval()代码执行的没绕过防护规则,所以没有进行分析。
AWD 攻防源码下载:
链接: https://pan.baidu.com/s/1dE3M0X7
密码: 5wvc
万能密码
漏洞文件:
htmllibUser.php(第16-34行)中用户名没用做任何过滤直接传递到数据库查询语句中,因此可以通过构造万能密码admin'or 1#
或者'or 1#
绕过登录。
任意密码重置
htmllibUser.php(第91-101行)在重置密码的时候仅需要用户名和新密码即可,所以可以利用这个逻辑漏洞将admin的密码重置为新的密码,从而进行登录。
上传漏洞
相关文件:
html.htaccess(第1行)中将xxx后缀的文件当做PHP来执行。
AddType application/x-httpd-php .html .xxx
htmllibFile.php(第15行)中采用黑名单的过滤方法并没有过滤xxx后缀的文件,因此可以直接上传shell.xxx的webshell文件,且上传功能需要登录后才能访问。
$this->notallow=array("php", "php5", "php3", "php4", "php7", "pht", "phtml", "htaccess","html", "swf", "htm");
htmllibFile.php(第27行)中将上传的名称重命名为用户名_文件名.文件后缀,如 admin_getflag.xxx
$path='./upload/'.$username."_".$fileinfo["filename"].".".$fileinfo["extension"];
因此可以结合万能密码或任意密码重置登录后上传webShell获得Flag。
反序列化漏洞
htmlcommonhome.php(第34-35行)很直接的告诉我们存在反序列化漏洞,且该文件不需要登录可以访问。
$a=@$_POST['a'];
@unserialize($a);
文件源码:
源码分析:
反序列化时候首先会执行__wakeup()
魔术方法,然后再执行__destruct()
方法。其中__wakeup()
使用了waf
函数,因此整个__wakeup()
过滤了空格,回车,换行,tab等字符,__destruct()
中使用了call_user_func_array()
通过回调的方式执行ping
函数,并要求args
是一个数组。因此可以在args
中传入cat /flag
从而执行其他命令获取flag。
解题思考: 问题一: 由于本题使用了private变量,在测试的时候发现有不可视的字符所以直接用base64编码得到序列化的字符PAYLOAD,然后在python中使用base64解码后提交,就可以得到flag; 后面查阅资料,根据如下结论可以知道private变量名前面的home需要在前后加上NULL空字符, 因此只要在请求中使用%00代替NULL字符即可 。
解决方法:x00 + 类名 + x00 + 变量名 反序列化出来的是private变量, x00 + * + x00 + 变量名 反序列化出来的是protected变量, 而直接变量名反序列化出来的是public变量
参考自:http://0x48.pw/2016/09/13/0x22/
问题二:
__wakeup()
中使用waf
函数过滤了空格,导致无法直接执行cat /flag
,这个问题首先想到的是绕过__wakeup()
魔术方法,后面才考虑到之前小密圈中说的利用环境变量绕过一些关键字符的方法。
解决方法一:
当序列化字符串中表示对象属性个数的值大于真实的属性个数时会跳过__wakeup
的执行, 如,原本是O:6:”person”:1:,将1改为大于1的值即可,修改后O:6:”person”:2: ,这样就能绕过__wakeup()
魔术方法,从而不需要考虑空格的问题。需要PHP before 5.6.25 and 7.x before 7.0.10。
参考自:
http://www.cnbraid.com/2016/unserialize.html
https://bugs.php.net/bug.php?id=72663
https://paper.seebug.org/39/
http://www.cnblogs.com/Mrsm1th/p/6835592.html
http://www.freebuf.com/vuls/116705.html
解决方法二:
使用${IFS}
代替空格即可。
源自P师傅小密圈中的一个问题的解答,当命令执行漏洞过滤了 空格 . / ; ` ’ > 等字符,怎么执行任意命令?
可以通过执行env命令获取可用的环境变量,如:得到MAIL=/var/mail/root,可以使用${MAIL:0:1}
或$(expr substr $MAIL 1 1)
代替/,另外可以使用${IFS}
代替空格,使用``两个反引号将关键字分割,如 c``a``t${IFS}f``lag。
参考自:https://exploitbox.io/vuln/WordPress-Exploit-4-6-RCE-CODE-EXEC-CVE-2016-10033.html
Payload:
[Url]http://xxx.xxx.xxx.xxx/common/home.php
[POST]
a=O:4:"home":2:{s:12:"%00home%00method";s:4:"ping";s:10:"%00home%00args";a:1:{s:4:"host";s:24:"127.0.0.1;cat${IFS}/flag";}}
小总结
此时此刻突然觉得,平时多看writeup勤做笔记是非常重要的。很多考点其实在往年的CTF中就有出现了,特别是反序列化的这个考点,拿到手时候第一想到的是绕过__wakeup()
方法,后面翻笔记才想到可以用之前圈内讨论的绕过空格等字符的方式执行命令,今年AWD是还考到了代码审计,后续的赛前准备也要将代码审计的能力训练到位。
- MySQL优化原理
- Python深入06 Python的内存管理
- 微信登陆代码
- HTML语义化:HTML5的新标签及IE5.5~9的部分兼容方案
- TCP/IP(八)之总结TCP/IP四层模型
- 在Orchard中使用Image Gallery模块
- CentOS7设置IP地址
- 服务器端Javascript
- ASP连接数据库
- 彻底隐藏你HTML网页的源代码
- java学习:JMM(java memory model)、volatile、synchronized、AtomicXXX理解
- 使用CSS制作文字环绕图片效果(文字内容包含<li>标签)
- ClojureScript魔法堂:搭建开发环境
- PHP error_reporting() 错误控制函数功能详解
- JavaScript 教程
- JavaScript 编辑工具
- JavaScript 与HTML
- JavaScript 与Java
- JavaScript 数据结构
- JavaScript 基本数据类型
- JavaScript 特殊数据类型
- JavaScript 运算符
- JavaScript typeof 运算符
- JavaScript 表达式
- JavaScript 类型转换
- JavaScript 基本语法
- JavaScript 注释
- Javascript 基本处理流程
- Javascript 选择结构
- Javascript if 语句
- Javascript if 语句的嵌套
- Javascript switch 语句
- Javascript 循环结构
- Javascript 循环结构实例
- Javascript 跳转语句
- Javascript 控制语句总结
- Javascript 函数介绍
- Javascript 函数的定义
- Javascript 函数调用
- Javascript 几种特殊的函数
- JavaScript 内置函数简介
- Javascript eval() 函数
- Javascript isFinite() 函数
- Javascript isNaN() 函数
- parseInt() 与 parseFloat()
- escape() 与 unescape()
- Javascript 字符串介绍
- Javascript length属性
- javascript 字符串函数
- Javascript 日期对象简介
- Javascript 日期对象用途
- Date 对象属性和方法
- Javascript 数组是什么
- Javascript 创建数组
- Javascript 数组赋值与取值
- Javascript 数组属性和方法