2019 神盾杯 final Writeup(二)

一叶飘零 Web安全 2019年7月9日发布
Favorite收藏

导语:接之前的分析文章,本篇文章将2019 神盾杯线下赛后续两道web题也解析一下。

前言

接之前的分析文章,本篇文章将2019 神盾杯线下赛后续两道web题也解析一下。

web3

预置后门扫描

打开源码发现是主流cms typecho,先上工具扫一波:

2019-07-04-14-02-34.png

2019-07-04-14-03-13.png

2019-07-04-14-04-21.png

同时注意到版本号:

2019-07-04-14-33-44.png

根据github的开源项目回滚到当前版本:

2019-07-04-14-39-31.png

并进行diff:

2019-07-04-14-55-48.png

用户名RCE

2019-07-04-14-55-33.png

容易发现/admin/login.php处,$rememberName被反引号包裹,可以进行RCE。

SSRF漏洞

/var/Widget/XmlRpc.php:

2019-07-04-14-59-56.png

该漏洞应该为typecho对应版本的原生漏洞,可以搜到相关信息:

2019-07-04-15-03-01.png

那么关键点就在于过滤时,未把file协议过滤掉:

/var/Typecho/Http/Client/Adapter.php:

2019-07-04-15-00-29.png

导致我们可以利用其进行SSRF任意文件读取:

curl "https://skysec.top/action/xmlrpc" -d '<methodCall><methodName>pingback.ping</methodName><params><param><value><string>file:///flag</string></value></param><param><value><string>joychou</string></value></param></params></methodCall>'

web4

预置后门扫描

打开源码发现是主流框架 thinkphp,先上工具扫一波:

2019-07-04-14-05-59.png

2019-07-04-14-05-27.png

2019-07-04-14-05-04.png

比较遗憾,这里后门因为隐藏非常隐蔽,所以主流静态分析工具并没有很好的识别出webshell。下面还是得靠我们自己diff。

该项目是开源项目:

https://gitee.com/liaow/JuBiWang/tree/master

thinkphp缓存机制

2019-07-04-15-19-29.png

关于thinkphp的缓存机制,是一个老生常谈的问题,在今年强网杯final中也有相应的问题:

https://skysec.top/2019/06/16/2019-%E5%BC%BA%E7%BD%91%E6%9D%AFfinal-Web-Writeup/

这里就不再赘述了。

全局过滤器后门

通过diff发现在文件/ThinkPHP/Common/functions.php:

2019-07-04-15-22-45.png

其中出题人自己编写了一个全局函数:

function MY_I($name,$default='',$filter=null,$datas=null)

我们和框架自带的I函数做个比较:

2019-07-05-13-36-15.png

发现出题人使用了自己的:

MY_DEFAULT_FILTER

我们跟进一下:

2019-07-05-13-37-10.png

发现内置内门assert,那么我们寻找调用MY_I函数的位置:

/Application/Home/Controller/ChartController.class.php:

2019-07-04-15-28-52.png

发现方法getMarketOrdinaryJson()使用了该函数,那么可以构造如下路由进行RCE:

https://skysec.top/?s=/home/chart/getMarketOrdinaryJson&sky=phpinfo();

ssrf

通过diff,发现在文件/Application/Admin/Controller/AdminController.class.php中多了如下方法:

2019-07-04-15-26-52.png

简单看一下发现是curl,那么可以直接进行ssrf文件读取:

https://skysec.top/?s=/admin/admin/callOnce&url=file:///flag

文件读取

通过diff,发现在文件/Application/Home/Controller/IndexController.class.php中有如下flag方法:

2019-07-04-15-29-49.png

我们发现只要我们输入的len和flag长度不一致,就会触发debug函数,我们跟进debug函数:

2019-07-05-13-53-40.png

继续跟进log函数:

2019-07-05-13-53-51.png

再跟进fb函数:

2019-07-05-13-57-01.png

2019-07-05-13-56-51.png

发现最后会进行setHeader,我们的debug信息会在http header中打印出来,那么即可通过这个方式获取flag。

https://skysec.top/?s=/home/index/flag&len=1

后记

2019 神盾杯线下赛的4道web分析到此结束,总的来说diff还是比较强力的,最后的web4也不错,洞藏的都比较好一些,是和框架相互结合的,而不是生硬嵌入的,希望借此可以提高代码审计能力。

本文为 一叶飘零 原创稿件,授权嘶吼独家发布,如若转载,请注明原文地址: https://www.4hou.com/web/19038.html
点赞 4
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论