securityoverridehacking challenge 解题思路汇总——Advanced

继续上一篇securityoverridehacking challenge 解题思路汇总的工作,这次把Advanced给弄完了。这当中主要涉及到了关于php的一些攻击方法,可以以此为基础做一个深入的了解。

3      Advanced

3.1     PHP Sucks

利用PHP中==的跨类型比较而产生的漏洞。最终目的是要$input=="0000". 这个好办,php中,任何数字型字符串最终都会转化为数字去做比较,所以input可以是任意个0。不过Filter最后加了个正则判断preg_match("/^[\d]{1,}$/D"$input)。意思就是不能为纯数字。也比较简单,利用0的特性嘛(小学知识:0等于0的负数),于是输入-0就好了。

PS: 关于php的弱类判断法则 http://php.net/manual/en/types.comparisons.php

 

3.2     Obfuscated PHP:

考察能否在混淆的前提下整理出代码逻辑。这题没有什么快捷方法,手动清理。清除注释和分号后代码量其实不多,然后把一些该解码的解码,函数该返回的直接替换,就能把代码逻辑理清楚了。整理完毕后代码逻辑如下:

Back to thechallenges main page.
Please note that you willonly get feedback if you solved this challenge. Wrong attempts do not generateany output at all.
"; highlight_file('code.php'); ?>

之后就很简单了,构造一个符合要求的url即可。

 

3.3     Upload bypass

要求你bypass过滤程序,上传一个php脚本。常规思路:1 直接上传.php文件(失败)。2 上传.php文件,但是修改post内容中的contentType为image/jpg(失败)。3 上传正常jpg文件,隐藏php脚本(Linux:cat test.php>>image.jpg,   Windows:copy /b image.jpg + test.php image.jpg, 或者使用工具来添加注释),尽量保证图片简单或纯色,以免某些图片字符干扰php解析)。通过第三步,这个问题就解决了。

接下来还研究了一下怎么执行jpg中的php脚本这个问题,在查阅资料以及自己试验后,基本只有这两种方法比较可行:

  • 在另一个php文件中includeu或者require这个jpg文件

  • 在/etc/apache2/mods-available/php5.conf中设置jpg格式的解释器为php

    SetHandler application/x-httpd-php

修改.htaccess原理一样(简单尝试了一下,没有成功)

既然题目中已经提到了存在local file inclusiong这个漏洞的存在,那么想利用第一种方法执行php脚本就很简单了,大致是利用注入的方法去控制include或者require中的变量,使得脚本执行。

 

3.4     Local File Inclusion/WAF Bypass

好吧,3.3的研究起到作用了,3.4就是要求执行已上传的文件(文件路径在3.3上传成功的时候已给出,我的是/challenges/advanced/uploads/Ac3sk9j.jpg,不知道是不是大家都一样)。3.3中已经提到了,php中如果有include或者require等函数,就可以被用来执行jpg中的php代码。进入3.4,观察后发现url带有参数page,尝试随意修改,果然给出了错误提示:test.phpcannot be found。那么目标就很明确了,修改page参数,将路径指定到jpg文件。利用路径中,..代表上一级文件夹,很容易写出相对路径来../uploads/Ac3sk9j.jpg。尝试请求,结果为:uploads/Ac3sk9j.jpg.phpcannot be found。有两点不如人意:1)../给过滤掉了;2)文件名为Ac3sk9j.jpg.php而不是Ac3sk9j.jpg。于是分别寻找解决方法:

  • 对于某种特定字符串被过滤的情况,最简单的就是string replace了。对应的破解方法很简单,拼凑类似aabb的字符串就好了。中间的ab在被过滤后,就会生成新的ab了。这里写成….//就可以了。所以stringreplace的过滤方法和没有是一样的。
  • php后缀问题。显然网站对任何请求路径都加了.php后缀。Google了一下绕过策略,主要有两种:1)利用文件路径最大长度4096bytes,然后通过添加任意个/.来构造超长的文件路径。但是这么长的url,直接会被服务器拦截返回414;2)利用C中字符串终止符,在.php之前加入终止符,表示截断。比较普遍都是拿%00举例,不过尝试了一下没成功。后来在某个示例中查到了\0,就成功了。

这道题到这里也就成功了。在查找资料的过程中,对LocalFile Inclusion的漏洞又学到了一点新东西。在如何写入某个带脚本的文件上,除了直接的上传文件外,也可以利用服务器将用户信息输入到文件的过程,写入某个脚本。例如,服务器可能会记录访问请求的UserAgent(/proc/self/environ),url(access.log),或者登录的用户名密码等到一个log文件中,而这些信息都是可以被攻击者控制的(UserAgent和url似乎默认都是会被Apache服务器记录的,路径已经写出,当然,根据配置不同,路径可能变化)。所以这种情况下,只需要修改对应的值,向服务器发起请求,php脚本就已经被写入到服务器某个文件中了,接下来就只需要执行就好了。

你可能感兴趣的:(security,安全,ctf,php)