AWD神器—watchbird后台rce挖掘

admin 2024年7月8日16:13:02评论11 views字数 2615阅读8分43秒阅读模式

扫码领资料

获网安教程

AWD神器—watchbird后台rce挖掘

AWD神器—watchbird后台rce挖掘
文章来源: https://xz.aliyun.com/t/14978

简介

在传统的AWD攻防中,Waf扮演着重要的角色,Watchbird作为一款专门为AWD而生的PHP防火墙,具有部署简单,功能强大等特点,一出世便受到了广大CTFer的喜爱,目前在GitHub上已有600多star。本篇则详细介绍如果拿到watchbird后台,怎么利用watchbird后台进行rce。

项目部署

版本:除了最新版(两周前发布的新版本中此漏洞已修复)
具体部署细节可参考官方文档
Watchbird项目地址:https://github.com/leohearts/awd-watchbird

漏洞挖掘

获取后台账户密码

使用过watchbird的师傅应该都有所了解,watchbird的操作都是有鉴权的

AWD神器—watchbird后台rce挖掘

没有拿到用户的cookie或者密码,就谈不上后台rce了
这里只能通过爆破获取密码
可能很多人有疑问,watchbird不是有防DDOS,爆破不直接给封了吗?

AWD神器—watchbird后台rce挖掘

就像上面这样,短时间频繁访问会直接返回一个watchbird的logo,不会正常返回网站内容
watchbird确实是有这个功能,如果爆破目标网站就会被封,但是爆破watchbird密码就不会,因为,只是单纯验证watchbird密码的话,代码根本就走不到防DDOS这一步。所以,师傅们放心爆破吧,从比赛开始一直爆破到比赛结束都没问题!

AWD神器—watchbird后台rce挖掘

上面的示例中可以看到,当密码为123456时,返回长度不一样,说明爆破成功了
当然,还有一种方法就是打xss钓鱼,这里就不过多阐述具体细节了,我们直接入正题

修改配置的方法

进入后台后是这样的页面

AWD神器—watchbird后台rce挖掘

watchbird算是一个rasp(应用运行时自我保护)的waf,php程序是这样的。
也就是说,每次访问网站的时候,代码都是从头到尾重新运行一次,watchbird又没用到数据库,它是怎么存储用户信息和配置的呢?
开发常用方法,就是用序列化来保存用户配置
代码开头就定义了配置文件的路径
$config_path='/tmp/watchbird/watchbird.conf'

AWD神器—watchbird后台rce挖掘

AWD神器—watchbird后台rce挖掘

打开看一下,都是类序列化后的内容,这个类就是下面要讲的

AWD神器—watchbird后台rce挖掘

watchbird定义了一个configmanager类用来实现有关配置的一切功能,暂且叫它配置类

AWD神器—watchbird后台rce挖掘

AWD神器—watchbird后台rce挖掘

这个类的成员对应waf所有功能的开关状态,文件路径,过滤规则等等
同样这个类还有一个方法

AWD神器—watchbird后台rce挖掘

change方法接受一个$key和一个$val
接着把当前配置类的$key赋值为$val
最后用file_put_contents函数将当前配置类进行序列化后写入到配置文件watchbird.conf中,由此实现用户配置更新
但问题就在这里,他没有对这个$key和$val进行校验
所以$key和$val可以任意写入到配置文件中,我们可以更改原有配置,也可以新添配置
而且,调用这个change方法也很简单

AWD神器—watchbird后台rce挖掘

只需要验证用户身份,就可以直接调用。

修改密码(示例)

举个简单的例子,watchbird没有提供修改密码这一功能,总有人问密码忘了怎么修改,下面就演示一下
保存用户密码的是配置类中的$password_sha1属性

AWD神器—watchbird后台rce挖掘

它的初始值是unset
当用户第一次登录时

AWD神器—watchbird后台rce挖掘

它会先将前端ui输出出来,然后将配置类的password_sha1赋值给ui类的passwdhash,接着调用了ui的show方法

AWD神器—watchbird后台rce挖掘

在show方法中,他会判断这个passwdhash的值是不是unset,如果是的话,就会调用配置类的change方法初始化密码。
因此,只需要传参
?watchbird=change&key=password_sha1&value=unset

AWD神器—watchbird后台rce挖掘

password_sha1就被更改为unset了
删掉cookie后刷新一下

AWD神器—watchbird后台rce挖掘

就再次回到了初始化界面。
当然也可以到watchbird.conf中直接去改序列化后的数据

AWD神器—watchbird后台rce挖掘

这样就实现了用户密码修改

修改配置文件路径

但仅仅这样任意修改配置文件还不足以拿到shell
重点在文件最初运行时的操作

AWD神器—watchbird后台rce挖掘

当程序运行时
首先会检查配置文件路径是否存在,不存在则创建(这对应首次访问的情况)
接着会检查配置文件是否存在,不存在则将配置类序列化后写入配置文件中(同上)
然后反序列化读取配置,赋值给config变量
重点就在下面的foreach
这个foreach获取了config中的所有属性,并变成key=>val的形式
用了两个$,将config中的属性放到了全局中
前面说了,配置我们是可以随意更改的
如果我们在之前的操作中新增了一个config_path属性并写入到配置文件中
那么当代码走到这里的时候,从配置文件中读取的config_path会被写入到全局中
这样就覆盖了watchbird开头定义的congfig_path的值

AWD神器—watchbird后台rce挖掘

这样一来,配置文件的路径和文件格式就被改变了
如果我们将他改为/var/www/html/shell.php
那么接下来用户的操作中,如果需要更改配置,用户的配置信息会被写入到/var/www/html/shell.php中

AWD神器—watchbird后台rce挖掘

而根据代码流程很容易看到,接下来就可以直接调用change方法来实现配置文件重新写入
我们来实现一下

AWD神器—watchbird后台rce挖掘

最初网站根目录下是没有其他文件的

AWD神器—watchbird后台rce挖掘

接着我们调用change方法添加一个config_path配置,并将他的值设为网站的根目录
这里要执行两次
第一次,是将config_path写入到/tmp/watchbird/watchbird.conf中
第二次,就会读取配置,覆盖config_path变量,将配置写入到shell.php中了

AWD神器—watchbird后台rce挖掘

查看根目录,果然他出现了
访问shell.php

AWD神器—watchbird后台rce挖掘

没问题,很nice

写入木马

因为配置我们可以随便写入,我们直接将配置名写为php程序

AWD神器—watchbird后台rce挖掘

像这样,我写入了一个php程序用于输出当前目录下的文件
查看一下shell.php文件

AWD神器—watchbird后台rce挖掘

写入成功
访问shell.php

AWD神器—watchbird后台rce挖掘

执行成功
到这一步ctfer都已经轻车熟路了,后面的环节就不再多说了,尽情写马吧!

总结

闲来无事,偶然翻阅源码发现的小tips,因为省事自己用本机windows的phpstudy搭的,真实awd比赛一般都是linux环境,所以以上仅供参考!欢迎师傅们多多交流!

声明:⽂中所涉及的技术、思路和⼯具仅供以安全为⽬的的学习交流使⽤,任何⼈不得将其⽤于⾮法⽤途以及盈利等⽬的,否则后果⾃⾏承担。

原文始发于微信公众号(白帽子左一):AWD神器—watchbird后台rce挖掘

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年7月8日16:13:02
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   AWD神器—watchbird后台rce挖掘http://cn-sec.com/archives/2930905.html

发表评论

匿名网友 填写信息