securityoverridehacking challenge 解题思路汇总——Advanced

继续上一篇securityoverridehacking challenge 解题思路汇总的工作，这次把advanced给弄完了。这当中主要涉及到了关于php的一些攻击方法，可以以此为基础做一个深入的了解。

3      Advanced

3.1     PHP Sucks

利用PHP中==的跨类型比较而产生的漏洞。最终目的是要$input=="0000". 这个好办，php中，任何数字型字符串最终都会转化为数字去做比较，所以input可以是任意个0。不过Filter最后加了个正则判断<span>preg_match</span><span>(</span><span>"/^[d]{1,}$/D"</span><span>, </span><span>$input</span><span>)</span>。意思就是不能为纯数字。也比较简单，利用0的特性嘛（小学知识：0等于0的负数），于是输入-0就好了。

PS： 关于php的弱类判断法则 http://php.net/manual/en/types.comparisons.php

3.2     Obfuscated PHP：

考察能否在混淆的前提下整理出代码逻辑。这题没有什么快捷方法，手动清理。清除注释和分号后代码量其实不多，然后把一些该解码的解码，函数该返回的直接替换，就能把代码逻辑理清楚了。整理完毕后代码逻辑如下：

    session_start();
    $_u=array();
    $_u[0]='SERVER_ADDQUERY_STRINGREQUEST_METHODHTTP_ACCEPT'; //一个字符串
    $_u[1]='substr'; // substr函数
    $_u[2]='base64_decode'; // decode方法
    $_§§§§§§§ =preg_split('/(?!\##$$$uu)=/',_SERVER['QUERY_STRING']); // 可以简单理解为按=分割
    ${"_g_1"} = urldecode($_§§§§§§§[0]); // key
    ${"_g_2"} = _GET[${"_g_1"}]; // value
    if(LEVENSHTEIN(${"_g_1"},${"_g_2"})==0){// 参数的key和value必须一样
       validate_result(${"_g_2"});
    };
    
    function validate_result($result){ // value = phpinfo(); 则成功（必须要分号）
        if($result === 'phpinfo();'){
           $_SESSION["solved_advanced_2"] = true;
           header("Location:./");
        }
    }
    
    echo "Good luck. Back to thechallenges main page.
Please note that you willonly get feedback if you solved this challenge. Wrong attempts do not generateany output at all.

之后就很简单了，构造一个符合要求的url即可。

3.3     Upload bypass

要求你bypass过滤程序，上传一个php脚本。常规思路：1 直接上传.php文件（失败）。2 上传.php文件，但是修改post内容中的contentType为image/jpg（失败）。3 上传正常jpg文件，隐藏php脚本（Linux命令cattest.php>>image.jpg或者使用工具来添加注释，尽量保证图片简单或纯色，以免某些图片字符干扰php解析）。通过第三步，这个问题就解决了。

接下来还研究了一下怎么执行jpg中的php脚本这个问题，在查阅资料以及自己试验后，基本只有这两种方法比较可行:

·        在另一个php文件中includeu或者require这个jpg文件
include('images/' . $_GET['test.jpg']);
require('images/' . $_GET['test.jpg']);
include('images/' . $_POST['test.jpg']);
include('images/' . $_POST['test.jpg']);
include('test.jpg');
require('test.jpg');
?>

·        在/etc/apache2/mods-available/php5.conf中设置jpg格式的解释器为php

    SetHandler application/x-httpd-php

修改.htaccess原理一样（简单尝试了一下，没有成功）

既然题目中已经提到了存在local file inclusiong这个漏洞的存在，那么想利用第一种方法执行php脚本就很简单了，大致是利用注入的方法去控制include或者require中的变量，使得脚本执行。

3.4     Local File Inclusion/WAF Bypass

好吧，3.3的研究起到作用了，3.4就是要求执行已上传的文件（文件路径在3.3上传成功的时候已给出，我的是/challenges/advanced/uploads/Ac3sk9j.jpg，不知道是不是大家都一样）。3.3中已经提到了，php中如果有include或者require等函数，就可以被用来执行jpg中的php代码。进入3.4，观察后发现url带有参数page，尝试随意修改，果然给出了错误提示：test.phpcannot be found。那么目标就很明确了，修改page参数，将路径指定到jpg文件。利用路径中，..代表上一级文件夹，很容易写出相对路径来../uploads/Ac3sk9j.jpg。尝试请求，结果为：uploads/Ac3sk9j.jpg.phpcannot be found。有两点不如人意：1）../给过滤掉了；2）文件名为Ac3sk9j.jpg.php而不是Ac3sk9j.jpg。于是分别寻找解决方法：

·        对于某种特定字符串被过滤的情况，最简单的就是string replace了。对应的破解方法很简单，拼凑类似aabb的字符串就好了。中间的ab在被过滤后，就会生成新的ab了。这里写成….//就可以了。所以stringreplace的过滤方法和没有是一样的。

·        .php后缀问题。显然网站对任何请求路径都加了.php后缀。Google了一下绕过策略，主要有两种：1）利用文件路径最大长度4096bytes，然后通过添加任意个/.来构造超长的文件路径。想了想，这么长的url估计直接会被服务器拦截返回414，于是就没有尝试了；2）利用C中字符串终止符，在.php之前加入终止符，表示截断。比较普遍都是拿%00举例，不过尝试了一下没成功。后来在某个示例中查到了，就成功了。

这道题到这里也就成功了。在查找资料的过程中，对LocalFile Inclusion的漏洞又学到了一点新东西。在如何写入某个带脚本的文件上，除了直接的上传文件外，也可以利用服务器将用户信息输入到文件的过程，写入某个脚本。例如，服务器可能会记录访问请求的UserAgent（/proc/self/environ），url（access.log），或者登录的用户名密码等到一个log文件中，而这些信息都是可以被攻击者控制的（UserAgent和url似乎默认都是会被Apache服务器记录的，路径已经写出，当然，根据配置不同，路径可能变化）。所以这种情况下，只需要修改对应的值，向服务器发起请求，php脚本就已经被写入到服务器某个文件中了，接下来就只需要执行就好了。