AWD神器—watchbird后台rce挖掘

简介

在传统的AWD攻防中，Waf扮演着重要的角色，Watchbird作为一款专门为AWD而生的PHP防火墙，具有部署简单，功能强大等特点，一出世便受到了广大CTFer的喜爱，目前在GitHub上已有600多star。本篇则详细介绍如果拿到watchbird后台，怎么利用watchbird后台进行rce。

项目部署

版本：除了最新版（两周前发布的新版本中此漏洞已修复）
具体部署细节可参考官方文档
Watchbird项目地址：https://github.com/leohearts/awd-watchbird

漏洞挖掘

获取后台账户密码

使用过watchbird的师傅应该都有所了解，watchbird的操作都是有鉴权的

没有拿到用户的cookie或者密码，就谈不上后台rce了
这里只能通过爆破获取密码
可能很多人有疑问，watchbird不是有防DDOS，爆破不直接给封了吗？

就像上面这样，短时间频繁访问会直接返回一个watchbird的logo，不会正常返回网站内容
watchbird确实是有这个功能，如果爆破目标网站就会被封，但是爆破watchbird密码就不会，因为，只是单纯验证watchbird密码的话，代码根本就走不到防DDOS这一步。所以，师傅们放心爆破吧，从比赛开始一直爆破到比赛结束都没问题！

上面的示例中可以看到，当密码为123456时，返回长度不一样，说明爆破成功了
当然，还有一种方法就是打xss钓鱼，这里就不过多阐述具体细节了，我们直接入正题

修改配置的方法

进入后台后是这样的页面

watchbird算是一个rasp(应用运行时自我保护)的waf，php程序是这样的。
也就是说，每次访问网站的时候，代码都是从头到尾重新运行一次，watchbird又没用到数据库，它是怎么存储用户信息和配置的呢？
开发常用方法，就是用序列化来保存用户配置
代码开头就定义了配置文件的路径
$config_path='/tmp/watchbird/watchbird.conf'

打开看一下，都是类序列化后的内容，这个类就是下面要讲的

watchbird定义了一个configmanager类用来实现有关配置的一切功能，暂且叫它配置类

这个类的成员对应waf所有功能的开关状态，文件路径，过滤规则等等
同样这个类还有一个方法

change方法接受一个$key和一个$val
接着把当前配置类的$key赋值为$val
最后用file_put_contents函数将当前配置类进行序列化后写入到配置文件watchbird.conf中，由此实现用户配置更新
但问题就在这里，他没有对这个$key和$val进行校验
所以$key和$val可以任意写入到配置文件中，我们可以更改原有配置，也可以新添配置
而且，调用这个change方法也很简单

只需要验证用户身份，就可以直接调用。

修改密码（示例）

举个简单的例子，watchbird没有提供修改密码这一功能，总有人问密码忘了怎么修改，下面就演示一下
保存用户密码的是配置类中的$password_sha1属性

它的初始值是unset
当用户第一次登录时

它会先将前端ui输出出来，然后将配置类的password_sha1赋值给ui类的passwdhash，接着调用了ui的show方法

在show方法中，他会判断这个passwdhash的值是不是unset，如果是的话，就会调用配置类的change方法初始化密码。
因此，只需要传参
?watchbird=change&key=password_sha1&value=unset

password_sha1就被更改为unset了
删掉cookie后刷新一下

就再次回到了初始化界面。
当然也可以到watchbird.conf中直接去改序列化后的数据

这样就实现了用户密码修改

修改配置文件路径

但仅仅这样任意修改配置文件还不足以拿到shell
重点在文件最初运行时的操作

当程序运行时
首先会检查配置文件路径是否存在，不存在则创建(这对应首次访问的情况)
接着会检查配置文件是否存在，不存在则将配置类序列化后写入配置文件中(同上)
然后反序列化读取配置，赋值给config变量
重点就在下面的foreach
这个foreach获取了config中的所有属性，并变成key=>val的形式
用了两个$，将config中的属性放到了全局中
前面说了，配置我们是可以随意更改的
如果我们在之前的操作中新增了一个config_path属性并写入到配置文件中
那么当代码走到这里的时候，从配置文件中读取的config_path会被写入到全局中
这样就覆盖了watchbird开头定义的congfig_path的值