wtf.sh-150

前言：

最近在刷ctf题，在理解了大佬们的wp后自己做完之后，从头到尾把思路过了一遍，做次记录为以后复习和打比赛做准备，同时也希望能帮到别人。

0x01

进入网址，发现是一个论坛，有注册，登录和发表的功能，初步猜测应该是可以利用账号进行获取flag，我们先顺着页面向下找一找，看有没有什么提示信息，没有什么发现，然后路径扫描试试，发现有一个post.wtf路径存在路径穿越漏洞，能够获取网站的源码，所以我们试着用这个进行网站源码的获取

进入页面

向下找找看有没有什么有没有有用的东西，一堆源码，太花时间，所以我们直接搜索flag关键词，看有没有

果然有，get_flag1，所以我们把这段源码整理一下，整理如下

<html>
<head><link rel="stylesheet" type="text/css" href="/css/std.css" >
</head>
$ if contains 'user' ${!URL_PARAMS[@]} && file_exists "users/${URL_PARAMS['user']}"
$ then
$   local username=$(head -n 1 users/${URL_PARAMS['user']});
$   echo "<h3>${username}'s posts:</h3>";
$   echo "<ol>";
$   get_users_posts "${username}" | while read -r post; do
$       post_slug=$(awk -F/ '{print $2 "#" $3}' <<< "${post}");
$       echo "<li><a href=\"/post.wtf?post=${post_slug}\">$(nth_line 2 "${post}" | htmlentities)</a></li>";
$   done 
$   echo "</ol>";
$   if is_logged_in && [[ "${COOKIES['USERNAME']}" = 'admin' ]] && [[ ${username} = 'admin' ]]
$   then
$       get_flag1
$   fi
$ fi
</html>

在这段代码中的关键代码是：

if is_logged_in && [[ "${COOKIES['USERNAME']}" = 'admin' ]] && [[ ${username} = 'admin' ]]
$   then
$       get_flag1

这段代码的意思是说，如果我们的登录用户是admin，那么我们就能获得flag1，所以，看来，如果我们想要获得flag1，就必须是admin用户登录，那么如何登录呢？代码中也给了提示，代码检查的是cookies，经过抓包，发现登录用户都会有自己的一个Token，看来我们只需要修改登录用户名和登录的Token即可登录admin用户

那么，我们从哪里获得admin用户的Token呢？我们还是利用路径穿越漏洞，看看有没有保存用户的目录，发现真的有

红色框里的是Token，在这个上面还有一串字符，经过分析是sha1，但是对于我们登录admin用户没有用处，所以我们伪造usernam和Token登录admin，但是这里提醒一下，不仅仅需要修改Token就可以进去，同时还得修改

这里解释一下为什么需要修改这个

这里我们发现每一个用户应该都是有一个文件来存储，所以想要登陆某个用户，也得加上这个，除非你是账号密码登陆

发现flag1，但是这个flag不是完整的，看来我们还得继续寻找第2个flag

0x02

到这里我们想想还有什么我们没有注意到，就是wtf，我们知道wtf不是一般常规的网页文件，所以我们试着寻找解析wtf文件的代码

这段就是解析wtf文件的代码，经过整理如下：

max_page_include_depth=64
page_include_depth=0
function include_page {# include_page pathnamelocal pathname=$1local cmd=[[ ${pathname(-4)} = '.wtf' ]];local can_execute=$;page_include_depth=$(($page_include_depth+1))if [[ $page_include_depth -lt $max_page_include_depth ]]thenlocal line;while read -r line; do# check if we're in a script line or not ($ at the beginning implies script line)# also, our extension needs to be .wtf[[ $ = ${line01} && ${can_execute} = 0 ]];is_script=$;# execute the line.if [[ $is_script = 0 ]]thencmd+=$'n'${line#$};elseif [[ -n $cmd ]]theneval $cmd  log Error during execution of ${cmd};cmd=fiecho $linefidone  ${pathname}elseecho pMax include depth exceeded!pfi
}

这段代码是能够解析并执行wtf文件

function reply {local post_id=$1;local username=$2;local text=$3;local hashed=$(hash_username "${username}");curr_id=$(for d in posts/${post_id}/*; do basename $d; done | sort -n | tail -n 1);next_reply_id=$(awk '{print $1+1}' <<< "${curr_id}");next_file=(posts/${post_id}/${next_reply_id});echo "${username}" > "${next_file}";echo "RE: $(nth_line 2 < "posts/${post_id}/1")" >> "${next_file}";echo "${text}" >> "${next_file}";# add post this is in reply to to posts cacheecho "${post_id}/${next_reply_id}" >> "users_lookup/${hashed}/posts";
}

这段代码是能够上传wtf文件并执行，那这样的话我们上传执行命令上去，让服务器执行我们的命令，从而我们能够找到服务器中flag2的位置和内容

到这里为止，我们想起论坛还有一个发表的功能

echo "${username}" > "${next_file}";

这段代码就是把用户名写在了评论文件的内容中，如果用户名是一段可执行代码，并且写入文件的格式是wtf格式的，那么这个文件就可以执行我们的代码了，所以我们需要怎么做呢？

0x03

通过以上分析，我们大致知道我们要做什么了，那接下来就来完成相应过程，首先，我们要写入一个后门，然后我们通过访问后门来得代码返回的结果，那么我们需要先注册一个用户名，而且用户名是可执行代码，然后观察返回结果

一、

上传后门

注册了一个普通用户，然后发表发表评论出上传一个后门，上面加%09的原因是：%09是水平制表符防止后台把我们的后门当做目录去解析，到此，后门上传成功，接下来注册含执行代码的用户

二、

注册用户

${find,/,-iname,get_flag2}

将用户名写入后门中

然后访问后门地址，得到如下回显

说明flag2的位置在这个路径，这里解释一下为什么要注册一个这样的用户，前面我们在得到flag1的时候的格式是get_flag1，所以这里我们注册一个get_flag2的用户，来寻找falg2,

三、

注册用户

$/usr/bin/get_flag2

让后访问后门地址

得到如下结果：

到此得到flag2

0x04

总结：这道题应该是最近做过的最难的了，通过这道题学到了很多姿势。对wtf格式的文件增长了利用姿势，通过用户名来执行代码在之前是真没想过。总之这题不愧为国际赛题