Securityoverridehacking チャレンジ 問題解決アイデアのまとめ —— 上級

前回の記事のsecurityoverridehackingチャレンジの問題解決アイデアをまとめる作業を続け、今回はAdvancedを完了しました。これには主に PHP に関するいくつかの攻撃手法が含まれており、深い理解の基礎として使用できます。

3最終的な目標は、$input=="0000" にすることです。PHP では、任意の数値文字列が最終的に比較のために数値に変換されるため、入力には任意の数の 0 を指定できます。ただし、Filter は最終的に通常の判定 <span>preg_match</span>

(

<span>"/^[d]{1,}$/D"</span>) を追加します。 >

、

$input<span>preg_match</span><span>(</span><span>"/^[d]{1,}$/D"</span><span>, </span><span>$input</span><span>)</span>)

。これは、純粋な数値にはできないことを意味します。こちらも比較的簡単で、0の性質（小学生の知識：0は0の負の数に等しい）を利用するだけなので、-0を入力するだけです。

追記: PHPの弱いクラス判定ルールについて http://php.net/manual/en/types.comparisons.php

3.2 難読化された PHP:

難読化を前提としてコードのロジックを整理できるかどうかを検討します。この問題を解決する近道はなく、手動でクリーニングする必要があります。コメントとセミコロンを削除した後、コードの量は実際にはそれほど多くありません。その後、デコードすべき部分をデコードし、関数によって返されるべき部分を直接置き換えることで、コードのロジックを明確にすることができます。終了後のコードロジックは次のようになります:

session_start();
$_u=array();
$_u[0]='SERVER_ADDQUERY_STRINGREQUEST_METHODHTTP_ACCEPT' //A string
$_u[ 1] ='substr'; // substr 関数
$_u[2]='base64_decode' // メソッドをデコードする
$_§§§§§§§ =preg_split('/(?!\##$$$ uu) =/',_SERVER['QUERY_STRING']); // 単純に =
${"_g_1"} = urldecode($_§§§§§§§[0]) / で割ると理解できます。 / key
$ {"_g_2"} = _GET[${"_g_1"}] // value
if(LEVENSHTEIN(${"_g_1"},${"_g_2"})==0){// キーとパラメータの値は同じでなければなりません
validate_result(${"_g_2"});
function validate_result($result){ // value = phpinfo(); 成功 (セミコロンが必要)
phpinfo();'){
$ _SESSION["solved_advanced_2"] = true;
header("Location:./"); '> ;チャレンジのメイン ページに戻ります。
この課題を解決するとフィードバックが得られます。間違った試みでは何も出力されません。< ;hr/>";
Highlight_file('code.php');
?>



その後は、要件を満たす URL を構築するだけです。

3.3 アップロードバイパス

では、フィルタープログラムをバイパスしてPHPスクリプトをアップロードする必要があります。一般的な考え方: 1 .php ファイルを直接アップロードします (失敗)。 2 .php ファイルをアップロードしますが、投稿コンテンツの contentType を image/jpg に変更します (失敗)。 3 通常の jpg ファイルをアップロードし、php スクリプトを非表示にします (Linux コマンド cattest.php>>image.jpg またはコメントを追加するツールを使用します。特定の画像文字が PHP の解析を妨げないように、画像をシンプルまたは単色に保つようにしてください) 。 3 番目のステップにより、この問題は解決されます。一下 次に、情報と私自身のテストのテストを参考にして、JPG で PHP スクリプトを実行する方法の問題も検討しました。実行可能な方法は基本的に次の 2 つだけです:

· Includeu または別の PHP で。ファイルを指定するか、この jpg ファイルを要求しますinclude('images/' . $_GET['test.jpg']);

require('images/' . $_GET['test.jpg']); include( 'images/' . $_POST['test.jpg']);include('images/' . $_POST['test.jpg']);

include('test.jpg');

require( 'test .jpg');?>



・ /etc/apache2/mods-available/php5.conf で php 形式インタプリタを php に設定します

SetHandler application/ x-httpd-php

.htaccess を変更する原理は同じです (簡単に試しましたが、成功しませんでした)

タイトルでローカルファイルインクルージョンの脆弱性の存在について言及しているので、phpスクリプトを実行する最初の方法は非常に簡単です。大まかに言うと、インクルードまたはrequire内の変数を制御するインジェクションメソッドを使用します。スクリプトを実行できるようにします。

3.4 ローカル ファイル インクルード/WAF バイパス

さて、3.3 の調査は成功しました。3.4 では、アップロードされたファイルの実行が必要です (ファイル パスは、3.3 でアップロードが成功したときに指定されています) 、私のものは /challenges/advanced/uploads/Ac3sk9j.jpg です。全員に同じかどうかはわかりません）。 3.3で述べたように、PHPにincludeやrequireなどの関数があれば、それを利用してjpgのPHPコードを実行することができます。 3.4 に入り、観察した結果、URL にパラメータ ページがあることがわかり、それを自由に変更しようとしましたが、案の定、test.php が見つかりませんというエラー メッセージが表示されました。次に、目標は非常に明確です。ページのパラメータを変更し、jpg ファイルへのパスを指定します。利用パスの..は上位フォルダを表し、../uploads/Ac3sk9j.jpgへの相対パスを記述するのが簡単です。リクエストを試みると、結果は次のようになります:uploads/Ac3sk9j.jpg.phpcannot 見つけられた。不満な点は 2 つあります: 1) ../ が除外される、2) ファイル名が Ac3sk9j.jpg ではなく Ac3sk9j.jpg.php になる。そこで、それぞれ解決策を探しました:

· 特定の文字列がフィルタリングされる状況の場合、最も簡単な方法は文字列の置換です。対応するクラッキング方法は非常に簡単で、aabb に似た文字列をつなぎ合わせるだけです。中央の ab がフィルタリングされると、新しい ab が生成されます。ここに….// のように書いてください。したがって、stringreplace のフィルタリング方法は、not と同じです。

· .php 接尾辞の問題。どうやら、Web サイトはリクエスト パスに .php サフィックスを追加しているようです。 Google がバイパス戦略を検索したところ、主に 2 つのタイプがありました。1) 最大ファイル パス長 4096 バイトを使用し、任意の数の / を追加して超長いファイル パスを構築します。考えてみると、このような長い URL はサーバーによって直接インターセプトされて 414 が返されると推定されるため、試しませんでした。2) C で文字列ターミネータを使用し、切り捨てを示すために .php の前にターミネータを追加します。例として %00 を使用するのが一般的ですが、試してみましたが失敗しました。後で、例でそれを見つけました 上記は、セキュリティ オーバーライド ハッキング チャレンジのソリューション アイデア - 上級編の概要を、内容の側面も含めて紹介しました。PHP チュートリアルに興味のある友人に役立つことを願っています。