点击！AWD攻防解题技巧在此！

背景

这周，给各位带来AWD攻防源码分析。在百越杯CTF比赛中，小学弟通过抓取访问日志得到漏洞利用的方法，于是斗哥决定拿到源码，分析题目的考点，为小伙伴们排忧解难。题目可以直接利用的大致有3个漏洞，登录接口万能密码绕过、任意重置密码漏洞、上传漏洞、以及反序列化。其中有个文件包含和eval()代码执行的没绕过防护规则，所以没有进行分析。

AWD 攻防源码下载：

链接: https://pan.baidu.com/s/1dE3M0X7

密码: 5wvc

万能密码

漏洞文件： html\lib\User.php(第16-34行)中用户名没用做任何过滤直接传递到数据库查询语句中，因此可以通过构造万能密码admin'or 1#或者'or 1#绕过登录。

任意密码重置

html\lib\User.php(第91-101行)在重置密码的时候仅需要用户名和新密码即可，所以可以利用这个逻辑漏洞将admin的密码重置为新的密码，从而进行登录。

上传漏洞

相关文件：

html.htaccess(第1行)中将xxx后缀的文件当做PHP来执行。 AddType application/x-httpd-php .html .xxx html\lib\File.php(第15行)中采用黑名单的过滤方法并没有过滤xxx后缀的文件，因此可以直接上传shell.xxx的webshell文件，且上传功能需要登录后才能访问。 $this->notallow=array("php", "php5", "php3", "php4", "php7", "pht", "phtml", "htaccess","html", "swf", "htm"); html\lib\File.php(第27行)中将上传的名称重命名为用户名_文件名.文件后缀，如 admin_getflag.xxx $path='./upload/'.$username."_".$fileinfo["filename"].".".$fileinfo["extension"]; 因此可以结合万能密码或任意密码重置登录后上传webShell获得Flag。

反序列化漏洞

html\common\home.php(第34-35行)很直接的告诉我们存在反序列化漏洞，且该文件不需要登录可以访问。 $a=@$_POST['a']; @unserialize($a); 文件源码：

源码分析：

反序列化时候首先会执行__wakeup()魔术方法，然后再执行__destruct()方法。其中__wakeup()使用了waf函数，因此整个__wakeup()过滤了空格，回车，换行，tab等字符，__destruct()中使用了call_user_func_array()通过回调的方式执行ping函数，并要求args是一个数组。因此可以在args中传入cat /flag从而执行其他命令获取flag。

解题思考： 问题一： 由于本题使用了private变量，在测试的时候发现有不可视的字符所以直接用base64编码得到序列化的字符PAYLOAD，然后在python中使用base64解码后提交，就可以得到flag; 后面查阅资料，根据如下结论可以知道private变量名前面的home需要在前后加上NULL空字符, 因此只要在请求中使用%00代替NULL字符即可 。

解决方法：\x00 + 类名 + \x00 + 变量名 反序列化出来的是private变量, \x00 + * + \x00 + 变量名 反序列化出来的是protected变量, 而直接变量名反序列化出来的是public变量

参考自：http://0x48.pw/2016/09/13/0x22/

问题二： __wakeup()中使用waf函数过滤了空格，导致无法直接执行cat /flag,这个问题首先想到的是绕过__wakeup()魔术方法，后面才考虑到之前小密圈中说的利用环境变量绕过一些关键字符的方法。

解决方法一：

当序列化字符串中表示对象属性个数的值大于真实的属性个数时会跳过__wakeup的执行, 如，原本是O:6:”person”:1:，将1改为大于1的值即可，修改后O:6:”person”:2: ，这样就能绕过__wakeup()魔术方法，从而不需要考虑空格的问题。需要PHP before 5.6.25 and 7.x before 7.0.10。 参考自： http://www.cnbraid.com/2016/unserialize.html https://bugs.php.net/bug.php?id=72663 https://paper.seebug.org/39/ http://www.cnblogs.com/Mrsm1th/p/6835592.html http://www.freebuf.com/vuls/116705.html

解决方法二： 使用${IFS}代替空格即可。

源自P师傅小密圈中的一个问题的解答，当命令执行漏洞过滤了 空格 . / ; ` ’ > 等字符，怎么执行任意命令？ 可以通过执行env命令获取可用的环境变量，如：得到MAIL=/var/mail/root，可以使用${MAIL:0:1}或$(expr substr $MAIL 1 1)代替/，另外可以使用${IFS}代替空格，使用``两个反引号将关键字分割，如 c``a``t${IFS}f``lag。 参考自：https://exploitbox.io/vuln/WordPress-Exploit-4-6-RCE-CODE-EXEC-CVE-2016-10033.html

Payload： [Url]http://xxx.xxx.xxx.xxx/common/home.php [POST] a=O:4:"home":2:{s:12:"%00home%00method";s:4:"ping";s:10:"%00home%00args";a:1:{s:4:"host";s:24:"127.0.0.1;cat${IFS}/flag";}}

小总结

此时此刻突然觉得，平时多看writeup勤做笔记是非常重要的。很多考点其实在往年的CTF中就有出现了，特别是反序列化的这个考点，拿到手时候第一想到的是绕过__wakeup()方法，后面翻笔记才想到可以用之前圈内讨论的绕过空格等字符的方式执行命令，今年AWD是还考到了代码审计，后续的赛前准备也要将代码审计的能力训练到位。