securityoverridehacking challenge 解题思路汇总——Advanced

继续上一篇securityoverridehacking challenge 解题思路汇总的工作,这次把Advanced给弄完了。这当中主要涉及到了关于php的一些攻击方法,可以以此为基础做一个深入的了解。

3      Advanced

3.1     PHP Sucks

利用PHP中==的跨类型比较而产生的漏洞。最终目的是要$input=="0000". 这个好办,php中,任何数字型字符串最终都会转化为数字去做比较,所以input可以是任意个0。不过Filter最后加了个正则判断preg_match("/^[\d]{1,}$/D"$input)。意思就是不能为纯数字。也比较简单,利用0的特性嘛(小学知识:0等于0的负数),于是输入-0就好了。

PS: 关于php的弱类判断法则 http://php.net/manual/en/types.comparisons.php

3.2     Obfuscated PHP:

考察能否在混淆的前提下整理出代码逻辑。这题没有什么快捷方法,手动清理。清除注释和分号后代码量其实不多,然后把一些该解码的解码,函数该返回的直接替换,就能把代码逻辑理清楚了。整理完毕后代码逻辑如下:

<?php

session_start();

$_u=array();

$_u[0]=‘SERVER_ADDQUERY_STRINGREQUEST_METHODHTTP_ACCEPT‘; //一个字符串

$_u[1]=‘substr‘; // substr函数

$_u[2]=‘base64_decode‘; // decode方法

$_§§§§§§§ =preg_split(‘/(?!\\##\$\$\$uu)=/‘,_SERVER[‘QUERY_STRING‘]); // 可以简单理解为按=分割

${"_g_1"} = urldecode($_§§§§§§§[0]); // key

${"_g_2"} = _GET[${"_g_1"}]; // value

if(LEVENSHTEIN(${"_g_1"},${"_g_2"})==0){// 参数的key和value必须一样

validate_result(${"_g_2"});

};

function validate_result($result){ // value = phpinfo(); 则成功(必须要分号)

if($result === ‘phpinfo();‘){

$_SESSION["solved_advanced_2"] = true;

header("Location:./");

}

}

echo "Good luck. <a href=‘./‘>Back to thechallenges main page.</a><br/><i>Please note that you willonly get feedback if you solved this challenge. Wrong attempts do not generateany output at all.</i><hr/>";

highlight_file(‘code.php‘);

?>

之后就很简单了,构造一个符合要求的url即可。

 

3.3     Upload bypass

要求你bypass过滤程序,上传一个php脚本。常规思路:1 直接上传.php文件(失败)。2 上传.php文件,但是修改post内容中的contentType为image/jpg(失败)。3 上传正常jpg文件,隐藏php脚本(Linux命令cattest.php>>image.jpg或者使用工具来添加注释,尽量保证图片简单或纯色,以免某些图片字符干扰php解析)。通过第三步,这个问题就解决了。

接下来还研究了一下怎么执行jpg中的php脚本这个问题,在查阅资料以及自己试验后,基本只有这两种方法比较可行:

·        在另一个php文件中includeu或者require这个jpg文件

<?php

include(‘images/‘ . $_GET[‘test.jpg‘]);

require(‘images/‘ . $_GET[‘test.jpg‘]);

include(‘images/‘ . $_POST[‘test.jpg‘]);

include(‘images/‘ . $_POST[‘test.jpg‘]);

include(‘test.jpg‘);

require(‘test.jpg‘);

?>

·        在/etc/apache2/mods-available/php5.conf中设置jpg格式的解释器为php

<FilesMatch ".jpeg">

SetHandler application/x-httpd-php

</FilesMatch>

修改.htaccess原理一样(简单尝试了一下,没有成功)

既然题目中已经提到了存在local file inclusiong这个漏洞的存在,那么想利用第一种方法执行php脚本就很简单了,大致是利用注入的方法去控制include或者require中的变量,使得脚本执行。

3.4     Local File Inclusion/WAF Bypass

好吧,3.3的研究起到作用了,3.4就是要求执行已上传的文件(文件路径在3.3上传成功的时候已给出,我的是/challenges/advanced/uploads/Ac3sk9j.jpg,不知道是不是大家都一样)。3.3中已经提到了,php中如果有include或者require等函数,就可以被用来执行jpg中的php代码。进入3.4,观察后发现url带有参数page,尝试随意修改,果然给出了错误提示:test.phpcannot be found。那么目标就很明确了,修改page参数,将路径指定到jpg文件。利用路径中,..代表上一级文件夹,很容易写出相对路径来../uploads/Ac3sk9j.jpg。尝试请求,结果为:uploads/Ac3sk9j.jpg.phpcannot
be found。有两点不如人意:1)../给过滤掉了;2)文件名为Ac3sk9j.jpg.php而不是Ac3sk9j.jpg。于是分别寻找解决方法:

·        对于某种特定字符串被过滤的情况,最简单的就是string replace了。对应的破解方法很简单,拼凑类似aabb的字符串就好了。中间的ab在被过滤后,就会生成新的ab了。这里写成….//就可以了。所以stringreplace的过滤方法和没有是一样的。

·        .php后缀问题。显然网站对任何请求路径都加了.php后缀。Google了一下绕过策略,主要有两种:1)利用文件路径最大长度4096bytes,然后通过添加任意个/.来构造超长的文件路径。想了想,这么长的url估计直接会被服务器拦截返回414,于是就没有尝试了;2)利用C中字符串终止符,在.php之前加入终止符,表示截断。比较普遍都是拿%00举例,不过尝试了一下没成功。后来在某个示例中查到了\0,就成功了。

这道题到这里也就成功了。在查找资料的过程中,对LocalFile Inclusion的漏洞又学到了一点新东西。在如何写入某个带脚本的文件上,除了直接的上传文件外,也可以利用服务器将用户信息输入到文件的过程,写入某个脚本。例如,服务器可能会记录访问请求的UserAgent(/proc/self/environ),url(access.log),或者登录的用户名密码等到一个log文件中,而这些信息都是可以被攻击者控制的(UserAgent和url似乎默认都是会被Apache服务器记录的,路径已经写出,当然,根据配置不同,路径可能变化)。所以这种情况下,只需要修改对应的值,向服务器发起请求,php脚本就已经被写入到服务器某个文件中了,接下来就只需要执行就好了。

版权声明:本文为博主原创文章,未经博主允许不得转载。

时间: 08-01

securityoverridehacking challenge 解题思路汇总——Advanced的相关文章

securityoverridehacking challenge 解题思路汇总——JavaScript

通过了Advanced部分( securityoverridehacking challenge 解题思路汇总--Advanced),下面就进入JavaScript了.总的来说,这个部分比较简单,因为JavaScript是高度可控的东西.也就是说,安全角度而言,JavaScript是不可信的. 4        Javascript 4.1       Login Bypass 这题比较容易让人想多,逛了下hint,发现很简单.观察,首先请求了index.php,然后跳转到了fail.php,并

xss challenge 解题思路(8-18)

challenge 8: js伪协议的应用,请使用ie浏览器 输入如下javascript:alert(document.domain); challenge 9 : 提示要用utf-7 xss来做,不过我是没做出来. challenge 10: 这次发现过滤了domain,可以如下构造" onmouseover=alert(document.domadomainin);  这样过滤掉domain后会构成新的domain challenge 11 "><a href=&qu

xss challenge 解题思路(4-7)

challenge 4: 这一关输入依然是过滤的,而且后面的下拉菜单都过滤了,但是我们发现,源码里有name=p3的东西,他的内容提交后不变,so,将value值变为  "</input><script>alert(document.domain)</script><input>"  提交后成功. challenge 5: 这一关是没有过滤的,但是文本框有maxlength,从原代码中果断删掉.然后构造"</input&g

xss challenge 解题思路(1-3)

challenge1: 用很基本的方法即可,截图如下: 提交后成功弹窗,完成. challenge2 这次我们发现我们输入的内容被放入value=”“ 中,所以需要将前面的结构闭合,构造如下: "><script>alert(document.domain)</script>" OK,成功了,那么下一道. challenge3 先来试一下,构造"</b><script>alert(document.domain)</

1014.WebGoat SQL盲注 解题思路

WebGoat SQL盲注 解题思路 ★ 题目:SQL Injection (advanced)地址: http://127.0.0.1:8080/WebGoat/start.mvc#lesson/SqlInjectionAdvanced.lesson/4 题目要求最终以Tom的身份登录到系统中. LOGIN界面: REGISTER界面: ★ 什么是SQL盲注?这是我自己的理解,不一定准确,仅供参考.SQL盲注的意思是,注入数据到SQL语句中,服务器不会返回数据库里的详细信息,只会给出 true

SecurityOverride Decryption 部分解题思路

Level 1 : ROT13 ROT13加密,一种简单加密方式,详见百度百科,这里用python shell直接解密 1 'grfg110, jung vf Frgrp Nfgebabzl'.decode('rot13') 可得答案:'test110, what is Setec Astronomy' Level 2 :  BASE64 base64 加密,详情百度,同上直接python shell解密 'VG9vIG1hbnkgc2VjcmV0cyB0ZXN0MTEw'.decode('ba

LeetCode解题思路:595. Big Countries

There is a table World +-----------------+------------+------------+--------------+---------------+ | name | continent | area | population | gdp | +-----------------+------------+------------+--------------+---------------+ | Afghanistan | Asia | 652

[LeetCode] 3Sum 解题思路

Given an array S of n integers, are there elements a, b, c in S such that a + b + c = 0? Find all unique triplets in the array which gives the sum of zero. Note: Elements in a triplet (a,b,c) must be in non-descending order. (ie, a ≤ b ≤ c) The solut

leetCode 103.Binary Tree Zigzag Level Order Traversal (二叉树Z字形水平序) 解题思路和方法

Given a binary tree, return the zigzag level order traversal of its nodes' values. (ie, from left to right, then right to left for the next level and alternate between). For example: Given binary tree {3,9,20,#,#,15,7}, 3 / 9 20 / 15 7 return its zig