2016-10-23

模拟众测漏洞 writeup

write-up

已经告诉 flag 位置，那么朝着这么目标渗透吧。

一开始是一个后台登录界面，想要模拟的环境是后台对外开放并且可被注册，在众测中也经常遇到这类漏洞，比如员工系统或者协同办公系统，注册登录后在内部的 wiki 中发现一些敏感信息。 登录处有预留一个SQL注入，想考的是任意账号登录，所以在代码中限制了长度，SQLMAP 默认没有尝试or注入，好像跑不出来，这个位置的注入还算隐秘，主要看渗透者细不细心，如果不细心怎么办？没关系呀~ 拿出打 CTF 的套路，页面中的一切都有可能是tips，就好像玩密室逃脱，慢慢找线索。 //唉，别打我

一般隐藏提示的地方常见于 html 或者 http header 中，很少有人注意到图片吧，诶厉害了，顺便还能涉及到隐写术，越来越像 CTF 了啊喂。 很明显这不是一张普通的萌妹子图片，binwalk 告诉我们这张图片经过 ps 处理之后又捆绑了一个charles201610201126.zip文件， 压缩包中是 charles 的保存文件，修改后缀为har然后用 charles 打开， 当然这里想考的是注册 admin 的姿势，代码是这样写的

if (strlen($user) > 5) {
    echo "<p>waring：注意帐号长度不超过5位</p>";
} elseif ($user == 'admin') {
    exit('<script>alert("admin已被注册")</script>');
}

之前在微博放出的 tips 有提到这点，代码和数据库差异性导致的问题，这类问题虽然比较少见，记得最早好像在道哥的《白帽子讲 Web 安全》中看到过，user 字段长度设定为5，但没有在代码中对传入的 user 值进行长度限制，以至于可以注册一个用户名为admin1的账号，写入数据库时由于长度限制会自动截断丢弃，这样实际上还是注册了admin

然后接下来注册流程会向邮箱发送激活账号链接，需要 user 和 token 值对应才行，这里模拟的是众测中很常见的密码找回案例， token看似是一组没有规律的字符串，其实是伪随机，有经验的同学可能会尝试破解这串 md5 观察是基于什么加密的。 很明显是time()函数的一次 md5，很容易就能预测任何时间的token 值，这里有个小知识，观察 POST 的时间一般向后几秒就是正确的 token，但要注意，time()函数获取的时间戳是会和本地时间相差八小时，因为从php5.1.0开始，php.ini里加入了date.timezone这个选项，默认情况下是关闭的，也就是显示的时间（无论用什么php命令）都是格林威治标准时间 和我们的时间（北京时间）差了正好8个小时。

进入到 admin 管理员账号，看到只有一个上传图片的功能（懒，没有写其他功能），看到有上传，大家惯性思维都会先测有没有任意文件上传的漏洞，不过仔细看上传的文件会被重命名，这里代码是这样写的，这样除非有解析漏洞或者文件包含。这里也是最坑的地方，很多同学到这里就没了思路。

function upload(){
    $file = $_FILES['file'];
    # 没文件上传就退出
    if (!isset($file['name'])) {
        exit;
    } elseif (!(substr($file['name'], -3, 3) == 'jpg')) {
        exit('<script>alert("仅支持jpg")</script>');
    }
    # 文件名不可预测性
    $salt = '8gs@22m.sa(fsf6n"7s';
    $name = md5(md5($file['name'] . $salt) . $salt);
    # 判断是否是通过HTTP POST上传的
    if (!is_uploaded_file($file['tmp_name'])) {
        return;
    }
    # 上传文件的存放路径
    $upload_path = "./img/";
    # 移动文件到相应的文件夹
    if (move_uploaded_file($file['tmp_name'], $upload_path . $name)) {
        echo "<img src='./img/$name'>";
        echo "<a href='del.php?del={$name}'>删除此图片</a>";
        echo $name;
    } else {
        exit("Failed!");
    }
}

这里想模拟的是发生在众测中的一次真实的"事故"，某位白帽子意外删除了整个图片文件夹，不过并不是白帽子的锅，真的是开发太蠢，猜测可能是这样写的。

function del($img_name){
    shell_exec(rm -rf . $img_name);
}

大概 url 是这样的 xxx.com/userid/username/img/2016/01/01/imgname.jpg 白帽子测试把imgname.jpg去掉，可能是想看是否有文件遍历等问题，然后就 gg 了。不过最后协助厂商通过技术手段还是把文件找回来了。

这么经典的"事件"，必须要拿出来分享一下。我这里没有敢用rm -rf 只把环境模拟出来，因为是linux 的命令注入，命令注入太危险，也从代码中过滤了很多可以用来 Bypass 的关键字符，留出来 ; 用作拼接，同时做了命令白名单和长度，这就很蛋疼，不过会echo出经过过滤后的字符。 那么我们知道 flag 是在当前用户目录下，直接去读取肯定是不行的了，因为这里不能回显而且还会把 . * / 这样的字符过滤掉，那要怎样才能获取到这个 flag 文件呢？可以用 tar 打包当前用户目录下的文件可以用 ~ 然后会给出提交 flag 的地址 不过直接访问的话会403 这里想要模拟的是众测中遇到的一次绕云 Waf 的实例，主机开放了** http proxy **其实之前乌云主站也有过这样的漏洞案例，对外开放的代理带来的一系列安全问题，开启了通向内网的隧道，如果是 Socks 代理可玩的就更多了。 设置代理，访问 http://127.0.0.1/flag/flag.php