0%

HTTP走私漏洞-RoarCTF2019-easycalc

HTTP走私漏洞

Cl-Cl

​ 以一个http包为例,这个数据包中存在两个Cl,按照正常规则如果存在两个Cl并且两个Cl的值不等时候,服务器会返回400错误,但是总有服务器不会严格执行规范,中间服务器在接受到这个请求后会按照第一个Content-Length对请求进行处理,但是这个请求包发到后端服务器就会按照第二个Content-length进行处理,这要就导致了一个问题,第二个Content-Length长度比第一个Content-length少一位,这要在第二次处理这个数据包的时候a就会没有被读取到从而留在了缓冲区,但是我们知道HTTP和普通的TCP不一样,存在一个 Keep-Alive 会导致TCP重用,那么下一个请求包就会把a拼接进去导致错误。(参考资料:https://paper.seebug.org/1048/)

构造的恶意请求包:

POST / HTTP/1.1\r\n
Host: example.com\r\n
Content-Length: 8\r\n
Content-Length: 7\r\n

12345\r\n
a

第二次被拼接的请求包:

aPOST / HTTP/1.1\r\n
Host: example.com\r\n
Content-Length: 8\r\n
Content-Length: 7\r\n

12345\r\n
a

​ 那么如果服务器严格遵循规范呢?存在两个Cl就直接400岂不是没法用了?这里又引申了一个问题,这样如果第一个前端服务器是nginx用于转发docker的流量而这个前端服务器存在一个waf,那么就可能导致这个waf失效,完整转发我们恶意代码,RoarCTF的easy-calc就是这样的问题。

RoarCTF2019-easycalc


题目源码:

<?php
error_reporting(0);
if(!isset($_GET['num'])){
    show_source(__FILE__);
}else{
        $str = $_GET['num'];
        $blacklist = [' ', '\t', '\r', '\n','\'', '"', '`', '\[', '\]','\$','\\','\^'];
        foreach ($blacklist as $blackitem) {
                if (preg_match('/' . $blackitem . '/m', $str)) {
                        die("what are you want to do?");
                }
        }
        eval('echo '.$str.';');
}
?> 
  • 题目源码比较简单,绕过方式和国赛lovemath一样或者使用取反方式绕过

  • 但是这里存在一个问题这个环境存在waf只能够使用这些字符:%&.,(*/-+)<=>?;:@\~}|{0123456789

  • 这里就是上面说的方法,使用两个CL导致前端服务器400,但是完整转发了HTTP请求,从而导致执行waf被绕过导致执行恶意代码。

  • 这里构造payload与lovemath一致,使用base_convert("scandir",36,10);也就是说将36进制转换为10进制,具体请参考国赛lovemath.然后将10进制转换为36进制那么就可以构造出来scandir,别人的write up的payload是base_convert(61693386291,10,36)(hex2bin(dechex(47)));,dechex()将10进制转16进制,而hex2bin是将16进制转char,但是我不知为什么他们要这么搞,这里并没有过滤scandir,甚至构造‘/’根本用不上十进制转16进制再转char,而是直接可以用AIISC转char。而且很多队伍解法一样,目测py的很多。

  • 最终payload: base_convert(2146934604002,10,36(hex2bin(dechex(47)).base_convert(25254448,10,36))

  • 我的payload:var_dump(scandir(chr(47)));

  • 最终payload:var_dump(readfile(chr(47).base_convert(25254448,10,36)));

img


img

非预期解

​ PHP中会对传入的参数名去取空格或者替换为下划线字符。(https://www.freebuf.com/articles/web/213359.html)如本次比赛的num前面加个空格即可绕过waf.

img