securityoverridehacking challenge 解题思路汇总——Advanced

继续上一篇securityoverridehacking challenge 解题思路汇总的工作，这次把Advanced给弄完了。这当中主要涉及到了关于php的一些攻击方法，可以以此为基础做一个深入的了解。

3      Advanced

3.1     PHP Sucks

利用PHP中==的跨类型比较而产生的漏洞。最终目的是要$input=="0000". 这个好办，php中，任何数字型字符串最终都会转化为数字去做比较，所以input可以是任意个0。不过Filter最后加了个正则判断preg_match("/^[\d]{1,}$/D", $input)。意思就是不能为纯数字。也比较简单，利用0的特性嘛（小学知识：0等于0的负数），于是输入-0就好了。

PS： 关于php的弱类判断法则 http://php.net/manual/en/types.comparisons.php

 

3.2     Obfuscated PHP：

考察能否在混淆的前提下整理出代码逻辑。这题没有什么快捷方法，手动清理。清除注释和分号后代码量其实不多，然后把一些该解码的解码，函数该返回的直接替换，就能把代码逻辑理清楚了。整理完毕后代码逻辑如下：

<?php    session_start();    $_u=array();    $_u[0]='SERVER_ADDQUERY_STRINGREQUEST_METHODHTTP_ACCEPT'; //一个字符串    $_u[1]='substr'; // substr函数    $_u[2]='base64_decode'; // decode方法    $_§§§§§§§ =preg_split('/(?!\\##\$\$\$uu)=/',_SERVER['QUERY_STRING']); // 可以简单理解为按=分割    ${"_g_1"} = urldecode($_§§§§§§§[0]); // key    ${"_g_2"} = _GET[${"_g_1"}]; // value    if(LEVENSHTEIN(${"_g_1"},${"_g_2"})==0){// 参数的key和value必须一样       validate_result(${"_g_2"});    };        function validate_result($result){ // value = phpinfo(); 则成功（必须要分号）        if($result === 'phpinfo();'){           $_SESSION["solved_advanced_2"] = true;           header("Location:./");        }    }        echo "Good luck. <a href='./'>Back to thechallenges main page.</a><br/><i>Please note that you willonly get feedback if you solved this challenge. Wrong attempts do not generateany output at all.</i><hr/>";    highlight_file('code.php');?>

之后就很简单了，构造一个符合要求的url即可。

 

3.3     Upload bypass

要求你bypass过滤程序，上传一个php脚本。常规思路：1 直接上传.php文件（失败）。2 上传.php文件，但是修改post内容中的contentType为image/jpg（失败）。3 上传正常jpg文件，隐藏php脚本（Linux：cat test.php>>image.jpg，   Windows：copy /bimage.jpg + test.phpimage.jpg， 或者使用工具来添加注释），尽量保证图片简单或纯色，以免某些图片字符干扰php解析）。通过第三步，这个问题就解决了。

接下来还研究了一下怎么执行jpg中的php脚本这个问题，在查阅资料以及自己试验后，基本只有这两种方法比较可行:

• 在另一个php文件中includeu或者require这个jpg文件

<?phpinclude('images/' . $_GET['test.jpg']);require('images/' . $_GET['test.jpg']);include('images/' . $_POST['test.jpg']);include('images/' . $_POST['test.jpg']);include('test.jpg');require('test.jpg');?>

• 在/etc/apache2/mods-available/php5.conf中设置jpg格式的解释器为php

<FilesMatch ".jpeg">    SetHandler application/x-httpd-php</FilesMatch>

修改.htaccess原理一样（简单尝试了一下，没有成功）

既然题目中已经提到了存在local file inclusiong这个漏洞的存在，那么想利用第一种方法执行php脚本就很简单了，大致是利用注入的方法去控制include或者require中的变量，使得脚本执行。

 

3.4     Local File Inclusion/WAF Bypass

好吧，3.3的研究起到作用了，3.4就是要求执行已上传的文件（文件路径在3.3上传成功的时候已给出，我的是/challenges/advanced/uploads/Ac3sk9j.jpg，不知道是不是大家都一样）。3.3中已经提到了，php中如果有include或者require等函数，就可以被用来执行jpg中的php代码。进入3.4，观察后发现url带有参数page，尝试随意修改，果然给出了错误提示：test.phpcannot be found。那么目标就很明确了，修改page参数，将路径指定到jpg文件。利用路径中，..代表上一级文件夹，很容易写出相对路径来../uploads/Ac3sk9j.jpg。尝试请求，结果为：uploads/Ac3sk9j.jpg.phpcannot be found。有两点不如人意：1）../给过滤掉了；2）文件名为Ac3sk9j.jpg.php而不是Ac3sk9j.jpg。于是分别寻找解决方法：

• 对于某种特定字符串被过滤的情况，最简单的就是string replace了。对应的破解方法很简单，拼凑类似aabb的字符串就好了。中间的ab在被过滤后，就会生成新的ab了。这里写成….//就可以了。所以stringreplace的过滤方法和没有是一样的。
• php后缀问题。显然网站对任何请求路径都加了.php后缀。Google了一下绕过策略，主要有两种：1）利用文件路径最大长度4096bytes，然后通过添加任意个/.来构造超长的文件路径。但是这么长的url，直接会被服务器拦截返回414；2）利用C中字符串终止符，在.php之前加入终止符，表示截断。比较普遍都是拿%00举例，不过尝试了一下没成功。后来在某个示例中查到了\0，就成功了。

这道题到这里也就成功了。在查找资料的过程中，对LocalFile Inclusion的漏洞又学到了一点新东西。在如何写入某个带脚本的文件上，除了直接的上传文件外，也可以利用服务器将用户信息输入到文件的过程，写入某个脚本。例如，服务器可能会记录访问请求的UserAgent（/proc/self/environ），url（access.log），或者登录的用户名密码等到一个log文件中，而这些信息都是可以被攻击者控制的（UserAgent和url似乎默认都是会被Apache服务器记录的，路径已经写出，当然，根据配置不同，路径可能变化）。所以这种情况下，只需要修改对应的值，向服务器发起请求，php脚本就已经被写入到服务器某个文件中了，接下来就只需要执行就好了。